COMMENT ANTICIPER LA PROTECTION DE SES DONNÉES À L’ÈRE DU POST-QUANTIQUE ?
Des chercheurs scientifiques prédisaient dans les années 1990 que si un ordinateur très puissant apparaissait sur le marché, il serait en mesure de déchiffrer, en un temps record, des données chiffrées d’une entreprise ou d’un gouvernement. Si vous n’aviez jamais entendu parler du projet de l’ordinateur quantique, sachez que pour certains, l’objet de toutes les convoitises serait jugé comme la plus grande menace pour la sécurité de nos données. Tandis que pour d’autres, l’ordinateur quantique ne serait qu’un mythe, rêvé par les hackers, qui ne verrait peut-être jamais le jour. Explications sur la cryptographie post-quantique…
L’ordinateur quantique, qu’est-ce que c’est ?
« Comme son nom l’indique, un ordinateur quantique tire parti des lois de la mécanique quantique, une théorie qui décrit les phénomènes physiques à l’échelle atomique. Alors que dans un ordinateur ordinaire, les informations sont codées sous la forme de bits qui ne peuvent prendre que deux valeurs, 0 ou 1, selon le passage au non de courant électrique à travers un transistor, les bits quantiques (ou qubits) peuvent simultanément prendre les valeurs 0 et 1. Qui plus est, lorsque deux qubits interagissent, leurs états physiques « s’enchevêtrent », si bien que les deux systèmes ne peuvent plus être décrits de façon indépendante – on parle d’états intriqués. (…)
Grâce à ces deux phénomènes, la superposition et l’intrication, un ordinateur quantique peut en théorie avoir accès à la totalité des résultats possibles d’un calcul en une seule étape, là où un ordinateur classique doit traiter l’information de façon séquentielle, un résultat après l’autre. C’est ce parallélisme massif qui est au cœur de la puissance de l’ordinateur quantique. »[1]
Et la cryptographie ? La cryptographie[2] regroupe plusieurs « principes, moyens et méthodes de transformation de données, dans le but de cacher leur contenu, d’empêcher que leur modification ne passe inaperçue et/ou d’empêcher leur utilisation non autorisée ».
En particulier, la cryptographie à clé publique permet à deux interlocuteurs de s’authentifier ou d’échanger une clé secrète à travers un réseau. Cette clé secrète est ensuite utilisée dans de nombreux services ou plateformes sécurisés du quotidien (paiement en ligne, messagerie instantanée, flux de communication, stockage de documents, chat en visioconférence, carte de transport…) et plusieurs millions d’entreprises y ont recours. Ainsi, la cryptographie à clé publique est conçue pour protéger l’ensemble de vos données personnelles et professionnelles, et fait aujourd’hui partie intégrante de l’économie du numérique.
A ce jour, les experts en cybersécurité sont en capacité de parer toutes sortes d’attaques en cryptographie grâce à l’augmentation de la taille des clés de sécurité. Mais à terme cette méthode devient obsolète. En effet, si les ordinateurs classiques peuvent « théoriquement » mettre des milliards d’années[3] pour déchiffrer des données chiffrées à l’aide d’algorithmes bien établis, l’accélération des capacités de calcul permise par l’ordinateur quantique pourrait faire exploser en vol les méthodes de chiffrement classiques.
Comme introduit plus haut, l’ordinateur quantique permet de déchiffrer n’importe quelle donnée chiffrée grâce à la cryptographie classique. C’est pourquoi, en réponse à l’éventuelle apparition d’un ordinateur quantique sur le marché, la cryptographie classique s’adapte et devient la « cryptographie post-quantique ». Elle se base « sur de nouveaux concepts mathématiques pour chiffrer les protocoles de communication »[4] et est « résistante à la puissance d’un ordinateur quantique »[5].
L’ordinateur quantique, une menace invisible mais puissante
Les géants du numérique, tels que IBM, Google ou encore Intel, se livrent une véritable guerre à la suprématie quantique[6] et travaillent activement sur des ordinateurs puissants pouvant offrir des capacités de calcul toujours plus élevées. IBM vient d’ailleurs de publier sa feuille de route sur le quantique et affirme qu’elle disposera d’une machine de 1000 bits en 2023[7]. L’enjeu est de taille : Anne Canteaut, informaticienne spécialiste de la cryptographie, assure qu’il existe 50% de chance pour qu’un des systèmes de cryptographie fondés sur l’échange de clé publique, utilisés dans toutes les transactions à travers le monde, soit cassé dans les quinze ans à venir à l’aide d’un ordinateur quantique[8].
La menace est jugée si sérieuse que le NIST, principale organisme de standardisation américain décide de renouveler les standards de cryptographie à clé publique par des nouveaux standards résistants au quantique. D’après le calendrier du NIST, ces nouveaux standards arriveront à l’horizon 2022. Ce mouvement est international. En France, par exemple, l’ANSSI recommande déjà de prendre en compte ces nouveaux standards pour protéger les données ayant une longue durée de vie.
De leurs côtés, les organisations doivent dès à présent anticiper les éventuelles futures attaques en renforçant la protection de leurs données chiffrées pour les sécuriser sur le long, voire le très long terme. Il faut savoir que certaines informations confidentielles nécessitent une protection sur plusieurs décennies, jusqu’à 60 ans pour les plus sensibles (applications gouvernementales, flottes aériennes, cartes vitales et données de santé, signatures électroniques, communications et échanges confidentiels…), voire jusqu’à 100 ans pour un acte notarié pour une personne mineure !
Le succès d’attaques par un ordinateur quantique impliquerait la compromission de l’identité de certaines sources d’informations, la divulgation des titres de propriété intellectuelle et industrielle, la non-répudiation de documents juridiques par la falsification de la signature ou encore la diffusion en claire de notre historique de données confidentielles.
Quel que soit leur secteur d’activité, les entreprises doivent élaborer des solutions pour contrer les éventuelles cyberattaques orchestrées via un ordinateur quantique, et allouer les investissements nécessaires dans des infrastructures solides, du matériel dédié et des outils sécurisés (hardwares spécifiques, échanges de clés…).
Comment répondre aux potentielles attaques de l’ordinateur quantique ?
Divulgué début septembre 2020 par le gouvernement français, le plan de relance prévoit d’allouer 7 milliards d’euros au secteur du numérique, sur les 100 milliards annoncés. Un secteur jugé comme étant « stratégique » et essentiel pour l’avenir du pays. Dans le détail :
– 2,4 milliards d’euros seront consacrés à la souveraineté technologique française (via des investissements dans des domaines tels que l’informatique quantique, la cybersécurité, l’intelligence artificielle, le Cloud, la santé numérique, etc.).
– 2,3 milliards iront à l’accélération de la transition numérique des entreprises et de l’Etat (sécurisation des infrastructures, numérisation du système de santé, etc.).
– 1,3 milliards seront affectés au développement des start-ups (via des aides à l’innovation apportées dans le cadre du Programme des investissements d’avenir et des participations à des levées de fonds)[9].
Des investissements nécessaires pour accélérer le déploiement de nouveaux standards de cryptographie post-quantique à l’ensemble des solutions et plateformes sécurisées de notre quotidien professionnel et personnel.
La cryptographie post-quantique existe déjà sur le marché, avant même l’apparition de l’ordinateur quantique. Quelques acteurs du numérique développent de nouveaux algorithmes, intégrés à des solutions professionnelles, résistantes à toutes sortes d’attaques extérieures pour sécuriser communications, stockage et partages d’informations sensibles.
En France, c’est le cas de la société CryptoNext Security qui propose de nouveaux standards de cryptographie pour sécuriser le SI des sociétés contre ce type d’attaques. En partenariat avec la société Ercom, les deux entreprises françaises ont pu mettre au point un premier test d’intégration post-quantique en utilisant la librairie développée par CryptoNext Security (Quantum-Safe library) dans la solution Cryptosmart d’Ercom qui sécurise les terminaux et communications mobiles. L’intégration a été rapide grâce d’une part, à la simplicité offerte par la librairie de Cryptonext Security et d’autre part, une architecture de Cryptosmart prévue pour évoluer aisément. Résultat, les premiers utilisateurs ont pu passer des appels post-quantiques en toute sécurité ! Une avancée technologique et sécurisée qui répond aux enjeux stratégiques et souverains des organisations quels que soient leurs secteurs d’activités.
Reste aujourd’hui à généraliser cette importante « mise à jour de l’Histoire »[10] à l’ensemble de nos objets du quotidien pour prétendre à une protection totale de notre économie du numérique face à la menace de l’ordinateur quantique.
A propos d’Ercom
Ercom, intégrée dans le groupe Thales, est une société française reconnue depuis plus de 30 ans pour ses solutions de sécurisation des communications, données et terminaux. Grâce à sa capacité d’adaptation, Ercom est capable de répondre tant aux besoins des grandes entreprises et administrations que des PME et ce avec des solutions de sécurisation certifiées et en conformité avec les plus hautes exigences fonctionnelles.
Pour plus d’informations, visitez notre site www.ercom.fr
A propos de CryptoNext Security (CNS)
CNS est une spin-off de Sorbonne Université et de INRIA, incubée par Agoranov et accélérée par le programme cyber de Thales Cyber@Station. CNS a été choisi dans le Futur40 de StationF, les 40 jeunes startups les plus prometteuses parmi les 1000 de StationF (le plus grand campus de startup en Europe). Hello Tomorrow a aussi sélectionné CNS (80 parmi 5000) lors de son Global Challenge (compétition internationale). CNS est dans le top 5 de la catégorie cyber-sécurité du Global Challenge. En 2020, CNS est lauréate du prestigieux Concours d’innovation i-Lab et l’un des 10 Grands Prix récompensant des projets exceptionnels qui ont vocation à relever un défi sociétal majeur.
[1] https://lejournal.cnrs.fr/articles/ordinateur-les-promesses-de-laube-quantique
[2] https://www.ssi.gouv.fr/entreprise/glossaire/c/
[3] https://cyberguerre.numerama.com/2169-comment-la-cryptographie-se-prepare-a-faire-face-aux-cyberattaques-quantiques.html
[4] http://www.senat.fr/fileadmin/Fichiers/Images/opecst/quatre_pages/OPECST_2019_0071_note_cryptographies_quantiques_postquantiques.pdf
[5] http://www.senat.fr/fileadmin/Fichiers/Images/opecst/quatre_pages/OPECST_2019_0071_note_cryptographies_quantiques_postquantiques.pdf
[6] On entend par « suprématie quantique », « les recherches qui mènent à la notion de suprématie quantique datent de près d’une quarantaine d’années. La question soulevée est de savoir si l’on pourrait résoudre, avec l’informatique quantique, des tâches très difficiles pour un ordinateur classique » (source : https://www.numerama.com/tech/550760-quest-ce-que-la-suprematie-quantique-que-google-aurait-atteinte.html)
[7] https://techcrunch.com/2020/09/15/ibm-publishes-its-quantum-roadmap-says-it-will-have-a-1000-qubit-machine-in-2023/
[8] https://www.larecherche.fr/informatique-cryptographie/%C2%AB-la-meilleure-garantie-de-s%C3%A9curit%C3%A9-est-l%C3%A9preuve-du-temps-%C2%BB
[9] https://www.channelnews.fr/plan-de-relance-7-milliards-deuros-pour-le-numerique-98665
[10] https://cyberguerre.numerama.com/2169-comment-la-cryptographie-se-prepare-a-faire-face-aux-cyberattaques-quantiques.html