Les ordinateurs quantiques sont une menace potentielle pour la cryptographie traditionnelle. La cryptographie doit s’adapter, mais est-ce que notre sécurité numérique peut suivre le rythme ?
2025 est avant tout l’année des agents d’IA, mais un peu aussi celle des ordinateurs quantiques. Des avancées technologiques décisives ouvrent la voie à des ordinateurs quantiques suffisamment fiables et évolutifs pour être utilisés à grande échelle. Selon les estimations scientifiques, les premiers ordinateurs quantiques « utilisables » sont attendus d’ici quelques années au maximum.
L’enthousiasme autour des ordinateurs quantiques va de pair avec la prudence. Ces ordinateurs peuvent être une arme puissante s’ils tombent entre de mauvaises mains. La sécurité numérique doit donc déjà se préparer. La solution, c’est de passer de la cryptographie actuelle à des normes résistantes aux ordinateurs quantiques. C’est plus facile à dire qu’à faire, nous explique le Dr Kristof Verslype, cryptographe chez Smals Research, lors de Cybersec.
Des bébés trop mignons
La cryptographie joue un rôle invisible mais indispensable dans le tissu numérique de la société. La moindre technologie, du matériel physique aux services numériques, utilise la cryptographie pour sécuriser les données. Le chiffrement, c’est comme une serrure : les données sont transformées en un texte illisible pour les humains et protégées par une clé cryptographique secrète.
Les normes de chiffrements courantes qu’on utilise aujourd’hui, surtout celles basées sur RSA et les courbes elliptiques, sont fiables depuis des décennies. Mais c’est sur le point de changer. « Les clés de chiffrement qui sont impossibles à déchiffrer pour les ordinateurs traditionnels pourraient être craquées en quelques heures par de puissants ordinateurs quantiques. Aujourd’hui, les ordinateurs quantiques sont encore des bébés trop mignons, mais ils vont grandir et devenir de dangereux guerriers. Sans cryptographie sécurisée, notre société s’effondrera », prévient Verslype.
Ce n’est plus un problème de demain. Les entreprises doivent déjà se rendre compte que leurs données ne seront plus jamais en sécurité. Verslype : « Les pirates pourraient déjà intercepter les communications chiffrées et les déchiffrer plus tard avec un ordinateur quantique. La communication est le domaine d’application le plus critique pour la cryptographie résistante aux ordinateurs quantiques. »
Bonne nouvelle, le secteur ne reste pas les bras croisés. Le NIST américain cherche depuis des années des normes cryptographiques post-quantiques. Mais ce n’est pas si simple, comme on l’a vu en 2022. À cette date, SIKE, l’un des finalistes pour un protocole « quantique sécurisé », a été piraté par un PC Intel vieux de dix ans, ce qui a vraiment secoué le monde de la sécurité.
Aujourd’hui, les ordinateurs quantiques sont encore des bébés trop mignons, mais ils vont grandir et devenir de dangereux guerriers.
Dr Kristof Verslype, cryptographe chez Smals Research
Les cryptomigrations ne se font pas en un clin d’œil
On a adopté plusieurs nouvelles normes de cryptage au fil des années. Au début de ce siècle, le DES a été remplacé par l’AES, qui est moins vulnérable à la menace quantique à court terme. Verslype se souvient : « Les migrations cryptographiques précédentes étaient lentes, compliquées et coûteuses. Il faut en moyenne cinq à quinze ans pour migrer complètement. On développe sans cesse de nouvelles normes, car il faut avoir des alternatives quand une norme est piratée. Être « prêt pour le quantique » ne se fait pas en un clin d’œil », explique Verslype.
Verslype pense qu’il faut s’y mettre dès maintenant et se préparer à passer à la cryptographie résistante aux attaques quantiques, si besoin en plusieurs étapes, comme le suggère l’agence allemande pour la sécurité numérique. Le BSI préconise une approche hybride qui combine la cryptographie actuelle et la cryptographie post-quantique jusqu’à ce que cette dernière soit fiable.
« Cela entraîne davantage de migrations et une plus grande complexité », estime Verslype. « La cryptographie est un atout qui doit être géré. Dans la pratique, cela n’est guère le cas. Nous devons accepter que les normes aient un cycle de vie et agir afin de les gérer de manière mature. »
Compréhension, stratégie et flexibilité
Verslype identifie trois étapes menant à ce qu’il appelle la « maturité cryptographique » : la capacité à migrer rapidement les systèmes vers de nouvelles normes. « La première étape consiste à comprendre ce que vous utilisez. Identifiez les types de cryptographie utilisés et à quelles fins. La deuxième étape consiste à définir une stratégie concernant les technologies à conserver et celles à abandonner. »
« Cet inventaire est également utile pour intervenir plus rapidement en cas de vulnérabilités ou pour démontrer la conformité », poursuit Verslype. « Il est toutefois essentiel de maintenir l’inventaire et la stratégie à jour. Commencez par vos actifs les plus importants et consolidez ce que vous possédez déjà. Au début, cela demandera probablement beaucoup de travail manuel, mais à long terme, vous pourrez automatiser le processus. »
Puis, il faut migrer les mécanismes cryptographiques qui ne sont plus conformes vers des normes plus récentes. L’intégration de la flexibilité ou « crypto-agilité » facilite la migration sans compromettre la disponibilité des systèmes, un critère important pour Verslype.
Les utilisateurs finaux sont très attachés à la disponibilité. Il est essentiel de pouvoir ajouter, supprimer ou modifier des fonctions cryptographiques en temps réel, au moment de l’exécution. La migration peut également entraîner des problèmes de performances : il est donc recommandé de tester minutieusement votre infrastructure au préalable.
Sepia
Verslype prend un exemple interne pour illustrer son propos. Sepia est un système de transmission et de signature électronique de documents développé par Smals. Verslype montre comment l’architecture de Sepia, déjà opérationnelle aujourd’hui, offre un niveau de crypto-agilité. Les clés cryptographiques sont notamment stockées dans un système centralisé.
Nos utilisateurs finaux sont souvent plus lents à adopter de nouvelles normes et des règles trop strictes pourraient rendre les services inaccessibles dans la pratique. Une bonne gestion des politiques en matière de cryptographie, y compris les éventuelles exceptions, est donc nécessaire.
« La résilience cryptographique implique une centralisation et une automatisation. Intégrer la résilience a un coût, mais cela permet de réaliser des économies à long terme. Il est possible de combiner résilience et rentabilité », explique Verslype.
5 niveaux
Si vous espériez trouver un guide prêt à l’emploi pour devenir « crypto-agile », la réponse de Verslype est décevante. « Il n’existe pas encore de feuille de route officielle. L’agilité est un processus graduel, semé de nombreux obstacles et défis. Smals a adopté la cryptographie dès ses débuts, mais nous avons encore un long chemin à parcourir. Être crypto-agile est plus difficile que d’être prêt pour le quantique. »
Le modèle CAMM (Cryptographic Agility Maturity Model), élaboré en 2023 par l’université de Darmstadt, se rapproche le plus d’une feuille de route. Il distingue cinq niveaux de résilience cryptographique. Au niveau « zéro », la situation est pratiquement irrémédiable.
« La migration est alors impossible en raison, par exemple, de limitations matérielles ou logicielles », explique Verslype.
Le modèle se développe du niveau un au niveau quatre. Plus le niveau est bas, plus la migration sera difficile et plus le travail préparatoire sera important. Ce n’est qu’à partir du niveau trois que la migration se déroule de manière sûre et efficace. Le niveau quatre est la distinction la plus élevée et implique « une migration rapide au niveau organisationnel », selon Verslype.
Être crypto-agile est plus difficile que d’être prêt pour le quantique.
Dr Kristof Verslype, cryptographe chez Smals Research
Guépard
Pour conclure son discours, Verslype encourage vivement l’auditoire à passer à l’action. « Il y a encore un long chemin à parcourir avant d’atteindre la flexibilité cryptographique. Nous n’en sommes qu’au début, mais nos efforts seront récompensés à terme. La flexibilité cryptographique vous permet de poser dès aujourd’hui les bases qui vous permettront de relever les défis cryptographiques de demain. »
Verslype finit par une comparaison inspirée du règne animal : « Les systèmes crypto-agiles sont comme un guépard : rapides, souples et agiles. Il ne me reste qu’à encourager tout le monde à les adopter et à devenir eux-mêmes comme un guépard. »
Cet article rédactionnel a été rédigé en collaboration avec Smals.