Êtes-vous prêts pour l’avènement des ordinateurs quantiques ? Bien que ceux-ci permettraient de résoudre des calculs complexes en un temps record, ils représentent également une menace pour la cryptographie actuelle. Il faut donc déjà réfléchir à un chiffrement post-quantique, capable de résister aux attaques effectuées via des calculateurs quantiques.
Voyons en quoi l'émergence des ordinateurs quantiques représente dès aujourd’hui une menace et comment préparer sa migration vers la cryptographie post-quantique.
L’ordinateur quantique représente une percée technologique majeure. Mais comment fonctionne-t-il ?
Dans un ordinateur classique, les calculs sont effectués avec des bits, dont l’état est figé (0 ou 1). L’ordinateur quantique, lui, encode l’information avec des « bits quantiques », appelés qubits. Ceux-ci exploitent certains prédicats de la mécanique quantique :
Sphère de Bloch : représentation de l’état d’un qubit par un vecteur
Les propriétés d’un qubit rendent les calculs de l’ordinateur quantique très parallélisables. Alors que l’ordinateur classique doit traiter les opérations les unes après les autres, son homologue quantique peut combiner toutes les probabilités d’une valeur en parallèle. Cette puissance de calcul peut révolutionner de nombreux secteurs (étude des molécules en chimie, optimisation des trajets dans le transport, prédiction des cours du marché en finance…).
Cela suscite l’intérêt des géants de l’industrie, mais aussi des gouvernements, qui se lancent dans la course aux qubits. Même s’il existe encore des freins techniques (la correction d’erreurs, le maintien de cohérence, la conservation à basse température…), de lourds investissements vont rendre les ordinateurs quantiques de plus en plus rentables et induire leur démocratisation. Selon une étude de McKinsey, jusqu’à 5 000 ordinateurs quantiques seront opérationnels d’ici 2030. Après la Loi de Moore sur l’augmentation du nombre de transistors au siècle dernier, nous assistons à la Loi de Neven : les ordinateurs quantiques s'améliorent à un rythme « doublement exponentiel » comparé aux ordinateurs classiques.
Mais, malgré tous ses bienfaits, l’ordinateur quantique va aussi révolutionner un secteur beaucoup plus sensible : la sécurité des systèmes d’information. En quoi la suprématie quantique représente-t-elle une menace ?
On appelle CRQC (Cryptographically Relevant Quantum Computers) les ordinateurs quantiques capables de casser les algorithmes cryptographiques actuels. À terme, quand ils posséderont assez de qubits, ils pourront exécuter deux algorithmes quantiques particulièrement menaçants :
Tous les algorithmes cryptographiques recommandés par la CNSA Suite 1.0 sont affectés par les ordinateurs quantiques :
|
Algorithme |
Usage |
Menacé par |
|
RSA |
Échange de clé / Signature numérique |
Algorithme de Shor |
|
DH |
Échange de clé |
Algorithme de Shor |
|
ECDH |
Échange de clé |
Algorithme de Shor |
|
ECDSA |
Signature numérique |
Algorithme de Shor |
|
AES |
Chiffrement symétrique |
Algorithme de Grover |
|
SHA |
Fonction de hachage |
Algorithme de Grover |
Cela met donc en péril la confidentialité, l’intégrité et l’authenticité de nos données au repos et en transit. Si bien qu’une grande menace fait beaucoup parler d’elle dernièrement : Harvest now, Decrypt later (« Récolter maintenant, Décrypter plus tard »). Elle consiste à collecter dès maintenant toutes les données chiffrées, dans l’espoir de pouvoir les déchiffrer plus tard à l’aide des ordinateurs quantiques. Nous parlons donc d'un investissement sur des données de très grande valeur sur le long terme (données personnelles, médicales, secrets d'État…). Notons que cette technique n’est pas nouvelle : les cybercriminels ont souvent spéculé sur des failles cryptographiques à venir ou l’augmentation de la puissance de calcul des ordinateurs. Cela prend néanmoins une ampleur inédite face à l’imminence de la suprématie quantique et son impact sur tous les algorithmes de chiffrement actuels.
Même si les CRQC ne sont pas encore disponibles publiquement, leur menace est donc déjà d’actualité. La sécurisation des données représente un enjeu stratégique pour les entreprises et les gouvernements. Chacun prépare une migration vers des technologies capables de protéger ses données.
Afin d’atténuer la menace actuelle, une première contre-mesure serait l’utilisation de la cryptographie quantique. Celle-ci se base sur les principes de la mécanique quantique pour implémenter des protocoles sécurisés comme la Distribution Quantique de Clé (Quantum Key Distribution). Cette dernière permet d’échanger une clé secrète partagée tout en détectant la moindre interception de la clé. Il s’agit donc d’un canal particulièrement efficace contre une attaque de type man-in-the-middle. Néanmoins, ce mécanisme induit le déploiement d’une infrastructure de communication dédiée non standardisée et montre plusieurs limites pointées du doigt par l’ANSSI.
L’alternative recommandée par l’ANSSI serait l’implémentation d’algorithmes post-quantiques. Plus besoin de canaux de communication dédiés au monde quantique : la cryptographie post-quantique fonctionne sur des ordinateurs classiques. Elle permet de se prémunir par anticipation à la fois contre les ordinateurs quantiques, mais aussi physiques, tout en restant interopérable avec les protocoles existants.
Depuis 2016, le NIST (National Institute of Standards and Technology) a lancé une compétition internationale pour définir les prochains standards d’algorithmes post-quantiques. Pendant plusieurs tours (« rounds »), les chercheurs vont sélectionner, éprouver et normaliser des algorithmes. Ils se concentrent principalement sur la cryptographie à clé publique, cassée par l’algorithme de Shor. Celui de Grover, lui, ne casse aucun algorithme mais en affaiblit certains de manière quadratique. Par exemple, pour protéger le chiffrement symétrique AES contre les ordinateurs quantiques, il suffirait de doubler la taille des clés (256 bits contre 128). En revanche, pour la cryptographie à clé publique, le NIST compte sur de nouveaux algorithmes basés sur des réseaux euclidiens, des fonctions de hachage ou encore des codes correcteurs d’erreur.
Si on prend cette fois-ci la CNSA Suite 2.0 ainsi que les standards définis par le NIST en août 2024, voici le statut des algorithmes post-quantiques :
|
Algorithme |
Usage |
Catégorie |
État |
|
ML-KEM |
Échange de clé |
Réseau euclidien |
|
|
ML-DSA |
Signature numérique |
Réseau euclidien |
|
|
SLH-DSA |
Signature numérique |
Fonction de hachage |
|
|
FALCON |
Signature numérique |
Réseau euclidien |
Candidat en cours de standardisation |
|
BIKE |
Échange de clé |
Code correcteur d’erreur |
Candidat Round 4 |
|
HQC |
Échange de clé |
Code correcteur d’erreur |
Candidat Round 4 |
|
Classic McEliece |
Échange de clé |
Code correcteur d’erreur |
Candidat Round 4 |
|
SIKE |
Échange de clé |
Courbes elliptiques |
Nous pouvons constater que les algorithmes post-quantiques sont encore peu matures. Après plusieurs itérations, certaines méthodes sont encore en cours de normalisation, voire carrément cassées (comme SIKE). Les chercheurs ont aussi été inquiétés lorsque leur candidat principal Kyber (ancienne version de ML-KEM) aurait été cassé par l’IA. Néanmoins, certains standards sont maintenant posés. Le NIST mise aussi sur une grande diversité de catégories d’algorithmes afin de garder une alternative si l’une d’elles est compromise.
Bien que la cryptographie post-quantique soit loin d’être mature, il ne faut pas pour autant reporter la migration : les menaces induites par les ordinateurs quantiques sont déjà une réalité. Mais alors, comment préparer sereinement sa migration vers les nouveaux standards ?
Plutôt que de remplacer d’un seul coup tous les algorithmes classiques par ceux post-quantiques, l’ANSSI recommande une hybridation. Le but est de combiner une méthode classique (éprouvée) à une méthode post-quantique (jugée encore immature). Cela permet de se prémunir à la fois contre les ordinateurs classiques et les ordinateurs quantiques, le temps que les algorithmes post-quantiques soient fiables.
L’ANSSI encourage également la crypto-agilité. Cela met en valeur la capacité à modifier les algorithmes utilisés, en fonction des menaces encourues, tout en restant rétrocompatible avec l’existant. Afin de garantir une absence de régression sur la sécurité pré-quantique, l’ANSSI propose une migration progressive « en biseau », constituée de plusieurs phases :
Planification de la transition post-quantique recommandée par l’ANSSI
Notons qu’il existe plusieurs modes d’hybridation, qui dépendent des algorithmes utilisés. Pour le chiffrement asymétrique, la technique consiste à générer une clé pré-quantique et une autre post-quantique puis de combiner les deux résultats à l’aide d’une fonction de dérivation de clé (KDF). Ainsi, pour casser le chiffrement, il faut compromettre à la fois les deux clés initiales. En ce qui concerne les signatures, on peut simplement concaténer les schémas pré et post-quantiques. La signature ne sera valide que si les deux signatures sous-jacentes le sont également.
Bien que les messages échangés soient beaucoup plus volumineux avec une hybridation, l’ANSSI estime que le surcoût est raisonnable pour garantir une sécurité satisfaisante. D’autant plus que l’hybridation ne sera que temporaire : à terme (Phase 3), on ne gardera que les algorithmes post-quantiques éprouvés.
Nous l’avons vu, les ordinateurs quantiques représentent une menace bien réelle, surtout concernant les données sensibles de longue durée. L’ANSSI recommande dès à présent d’inclure cette menace dans les analyses de risque et de préparer une transition vers des algorithmes post-quantiques.
Malgré l’immaturité de la cryptographie post-quantique, les nouveaux standards commencent à apparaître. Nous pouvons également compter sur une stratégie d’hybridation afin de limiter les régressions sur la sécurité pré-quantique.
N’oublions pas que les bonnes pratiques de cryptographie restent toujours valables, que ce soit pré ou post-quantique :