En 1994, le mathématicien américain Peter Shor a conçu un algorithme quantique susceptible de démanteler les grandes familles de cryptographie. Si ce calcul venait à être exécuté sur du matériel quantique, l’algorithme de Shor pourrait factoriser de grands nombres entiers à des vitesses inimaginables. Dans certains cercles de la cryptographie, ce jalon est surnommé « le jour Q », c’est-à-dire l’apocalypse de l’encryptage quantique.
Pour remettre les choses dans leur contexte, les algorithmes cryptographiques, comme le chiffrement RSA, « brouillent » essentiellement nos données afin de protéger des informations sensibles. Même les meilleurs supercalculateurs ne parviennent pas à craquer ces encryptions. Mais les ordinateurs quantiques sont susceptibles de surpasser leurs homologues classiques — et ce, précisément sur les problématiques mathématiques qui sous-tendent les systèmes de cryptographie, comme la factorisation d’entiers, le logarithme discret, et le logarithme discret sur les courbes elliptiques.
La perspective même de l’apocalypse quantique a poussé divers acteurs à réfléchir à ce que cela pourrait être et à la manière de se préparer au jour Q. Par exemple, en 2015, le National Institute of Standards and Technology (NIST) des États‑Unis a mis en place des programmes visant à élaborer des normes pour une cryptographie post-quantique (PQC).
Pour être clair, aucun ordinateur quantique existant n’a démontré de manière définitive qu’il exécute l’algorithme de Shor. Mais la semaine dernière, deux annonces indépendantes — qualifiées de « bombes » — concernant le chiffrement quantique ont été publiées par Google et par une start-up issue de Caltech. Les résultats, bien que présentés sous forme de préprints, n’ont pas encore subi de vérifications indépendantes ni de tests empiriques. Néanmoins, ils envoient un message clair : l’apocalypse du chiffrement quantique pourrait survenir plus tôt qu’on ne le pensait.
Mais il est difficile de saisir d’emblée ce que tout cela implique. Nous avons donc demandé l’avis des experts. Dans ce Giz Asks, des physiciens, des ingénieurs et des mathématiciens spécialisés en informatique quantique discutent de l’imminence de l’apocalypse de l’encryptage quantique. Une telle éventualité se produira-t-elle vraiment ? Si oui, quand et comment ? Plus important encore, comment devons-nous nous préparer au jour Q ?
Les réponses qui suivent ont été légèrement éditées et condensées pour plus de clarté.
Henry Yuen
Informaticien théorique, Université Columbia.
Il est difficile de faire des prévisions à haute fiabilité sur le moment où des ordinateurs quantiques capables d’exécuter l’algorithme de Shor seront en service. Pour l’industrie, les gouvernements, les institutions financières et la société, la question pertinente devrait être: « Peut‑on être suffisamment confiant que l’algorithme de Shor ne sera pas opérationnel dans les cinq prochaines années ? » Si ce n’est pas le cas, il faut agir avec une grande urgence pour sécuriser notre infrastructure numérique afin qu’elle résiste à une attaque quantique. Cela nécessitera un effort coordonné d’une ampleur considérable entre l’industrie, le monde universitaire et le secteur public.
Bien que le NIST ait recommandé des cryptosystèmes de remplacement qui sont supposément sûrs face à une attaque quantique, il ne faut pas considérer que la question de disposer d’une cryptographie à l’épreuve du quantique est résolue. Il suffit d’un seul algorithme quantique brillant — un Shor 2.0, si l’on peut dire — qui pourrait nous ramener à la case départ. Nous devrons consacrer davantage de temps à tester rigoureusement les schémas de cryptographie post-quantiques recommandés, ainsi qu’à concevoir des cryptosystèmes alternatifs, afin de maximiser nos chances de nous protéger contre les attaques quantiques.
Paul Davies
Physicien théoricien, Université d’État de l’Arizona; auteur de Quantum 2.0, un livre qui décrit « les nombreuses bonnes nouvelles concernant la technologie de l’information quantique ».
La mécanique quantique sape bon nombre de méthodes cryptographiques populaires. Mais elle recèle aussi la solution. En tirant parti de l’intrication, l’information peut être téléportée de A à B avec une sécurité absolue car toute tentative d’écoute furtive corrompt de manière irréversible et détectable les données transmises, trahissant ainsi l’intentionnalité de l’action.
Il n’est toutefois pas nécessaire d’employer des technologies cryptographiques quantiques sophistiquées comme l’intrication pour éviter l’apocalypse quantique imminente. Il existe de nombreux protocoles de chiffrement à l’épreuve du quantique, un exemple évident étant le chiffrement à clé unique (one-time pad). Ils ne sont peut-être pas aussi pratiques que les méthodes actuelles, mais ils peuvent être sécurisés pour toutes les applications pratiques.
Ce à quoi aucune de ces considérations ne répond pas, c’est à la vulnérabilité des données existantes et passées qui, si elles sont collectées par un acteur malveillant, dorment comme une bombe à retardement en attendant l’avènement d’un ordinateur quantique capable de pénétrer dans cette immense base de données et de révéler de nombreux secrets. Les possibilités d’intimidation, de chantage et de cyberguerre sont évidentes. Pour l’individu, mon conseil est d’effacer définitivement autant de données passées que possible, par exemple ce qui est stocké dans le cloud, et de copier toutes les données essentielles sur des supports de stockage qui ne se connectent plus jamais à Internet.
Tim Palmer
Physicien théorique à l’Université d’Oxford qui a conçu le modèle alternatif Rational Quantum Mechanics (RaQM).
La capacité à casser le chiffrement RSA suppose que l’avantage quantique de l’algorithme de Shor se maintienne sur des ordinateurs comptant des milliers de qubits (corrigés d’erreurs). Cela suppose à son tour que la mécanique quantique elle-même demeure valable à ces échelles. Je ne le pense pas.
Bien que le grand public envisage la mécanique quantique comme une théorie extrêmement discontinue (pensez au « saut quantique » et au « bond quantique »), il s’avère que la mécanique quantique dépend du continuum des nombres de manière plus cruciale que la physique classique. Le RaQM est une théorie bien plus simple que la mécanique quantique, dépourvue des mystères profonds de la superposition et de l’intrication non locale. Elle y parvient en bannissant le continuum de la physique quantique. Par conséquent, RaQM révèle explicitement le contenu informationnel de la fonction d’onde: notamment, lorsque plus de quelques centaines de qubits sont intriqués, il n’y a pas assez d’informations dans la fonction d’onde quantique pour attribuer même un seul bit d’information à chaque dimension de l’espace de Hilbert. Lorsque cela se produit, l’avantage quantique de l’algorithme de Shor se sature et ne peut être amélioré par l’intrication de davantage de qubits.
La raison de mon enthousiasme face à l’annonce de Google est qu’elle pourrait accélérer le jour où la mécanique quantique pourrait être démontrée, expérimentalement, comme défaillante. Si cela se produit, j’aurai une théorie bien plus simple pour la remplacer — une théorie où les mystères de la mécanique quantique s’expliquent par une théorie élémentaire des nombres.
Sophie Schmieg
Ingénieure principale en cryptographie chez Google.
Le chiffrement utilisé aujourd’hui pour maintenir les informations confidentielles et sécurisées pourrait être cassé par un ordinateur quantique à grande échelle dans les années à venir. Nous pouvons atténuer cette menace quantique pour le chiffrement en entreprenant dès maintenant les migrations nécessaires. Avec le NIST et l’IETF qui ont publié leurs normes PQC, nous disposons d’un moyen de protéger notre infrastructure informatique avant qu’un ordinateur quantique soit prêt. De nombreuses bibliothèques cryptographiques largement utilisées ont implémenté ces algorithmes au cours des dernières années, même si certaines lacunes qui doivent être comblées par les ingénieurs en cryptographie subsistent.
Nous devons désormais habiliter les ingénieurs logiciels courants à réaliser cette transition. Les chiffrements TLS codés en dur doivent être remplacés par leur équivalent PQC (X25519MLKEM768), les versions SSH doivent être mises à jour, les configurations pour les signatures des jetons d’accès doivent être changées de ECDSA à MLDSA, et bien d’autres. Les décideurs et les régulateurs peuvent soutenir cette transition en communiquant clairement l’urgence de la migration PQC pour leurs systèmes, pour les infrastructures critiques et pour le secteur privé. Ils peuvent aussi jouer un rôle clé en fournissant des ressources et des conseils pour faciliter la migration PQC. Et, bien sûr, les chercheurs doivent continuer à étudier ces schémas afin de s’assurer de leur sécurité et de trouver des algorithmes de remplacement plus efficaces lorsque cela est possible.
Dustin Moody
Mathématicien au NIST qui gère les efforts du NIST pour le développement de la PQC.
Je considère l’« apocalypse quantique » comme une menace sérieuse et imminente qui nécessite une action. Cependant, ce n’est pas une apocalypse, car nous disposons des outils pour y faire face si le monde les adopte rapidement. L’une de mes missions au NIST est de diriger le développement des normes PQC destinées à protéger les données sensibles à long terme contre les attaques d’un ordinateur quantique. Nous avons élaboré ces normes dans un processus ouvert avec l’aide de cryptographes du monde entier, et elles sont prêtes à l’emploi dès maintenant. Mais publier les normes n’est que le début — le véritable travail réside dans leur adoption à grande échelle.
Le principal défi est le calendrier: cela pourrait prendre des années, voire des décennies, pour transformer complètement l’infrastructure numérique mondiale, donc la préparation doit commencer bien avant que la menace ne se concrétise pleinement. Personne ne sait combien de temps il faudra pour développer un ordinateur quantique capable de casser les méthodes de chiffrement actuelles, et l’échéancier peut être plus court que ce que nous préférerions.
La transition vers ces nouvelles solutions sera complexe, mais elle est essentielle pour maintenir la confiance numérique mondiale. Pour la plupart des gens, ces changements devraient se faire surtout en coulisses, à mesure que les fournisseurs de services et les développeurs intègrent les nouvelles normes dans leurs produits. Les organisations devraient privilégier l’« agilité cryptographique » — la capacité de changer rapidement les systèmes cryptographiques — et commencer par réaliser un inventaire complet de l’usage de la cryptographie à clé publique. En identifiant les points vulnérables et en donnant la priorité aux données de grande valeur dès aujourd’hui, elles pourront réaliser une migration délibérée et progressive qui réduira le risque avec le temps.
Bill Fefferman
Informaticien théorique, Université de Chicago.
Pour se prémunir contre la menace que les ordinateurs quantiques feraient peser sur la cryptographie, il n’existe qu’une seule solution: nous devons d’urgence remplacer notre cryptographie actuelle par des schémas cryptographiques « post-quantiques » tels que ceux qui ont récemment été standardisés par le NIST.
Il y a plusieurs raisons pour lesquelles nous ne pouvons pas nous permettre de retarder cette mise en œuvre. Premièrement, le calendrier pour construire des ordinateurs quantiques à grande échelle est incertain. Il n’existe pas de consensus large parmi les experts, mais les progrès expérimentaux ont été rapides et rien ne suggère qu’ils ralentissent. Deuxièmement, il faut contrer la menace des attaques « récolter maintenant et déchiffrer plus tard ». L’idée est que des attaquants peuvent télécharger et stocker des informations chiffrées qui sont largement accessibles en ligne. Ces données ne leur seront pas utiles aujourd’hui mais le seront lorsque des ordinateurs quantiques à grande échelle arriveront et pourront casser le chiffrement. Par conséquent, il faut être particulièrement attentif à utiliser des méthodes de chiffrement post-quantiques pour chiffrer des informations numériques qui doivent rester protégées sur de longues périodes, telles que des dossiers financiers, des documents juridiques ou des données personnelles d’identité.
Ceci dit, il reste encore beaucoup à faire pour comprendre les capacités des futurs ordinateurs quantiques. Contrairement à la sécurité préquantique des schémas actuels, qui s’appuie sur des décennies d’expérience, nous sommes bien moins confiants quant à la sécurité des schémas post-quantiques actuels. Il est donc crucial que les gouvernements, les entreprises et les décideurs donnent la priorité à l’investissement dans la recherche en calcul quantique afin que nous puissions clairement déterminer si ces nouveaux schémas cryptographiques sont réellement sûrs face à de futures attaques quantiques et, si ce n’est pas le cas, développer de nouveaux schémas qui soient réellement quantiquement sûrs. En attendant, être préparé en mettant en œuvre les schémas cryptographiques post-quantiques actuellement disponibles est bien préférable que d’utiliser des méthodes de chiffrement qui ne protègent en rien.
Dave Taku
Vice-président, Responsable mondial de la gestion des produits et de l’expérience utilisateur, RSA Security.
Bien que la génération actuelle de calcul quantique ne présente pas de menace pratique pour les longueurs de clé utilisées en cryptographie commerciale, l’innovation progresse à un rythme soutenu. Mais nous ne sommes pas au bord d’une apocalypse quantique — si les organisations commencent à se préparer dès maintenant. Le NIST impose que tous les systèmes fédéraux et critiques mettent en œuvre la PQC d’ici 2035. Étant donné l’état actuel de la technologie, cette échéance devrait laisser suffisamment de marge avant que la PQC ne présente un risque réel.
Les organisations peuvent commencer à se préparer dès maintenant en évaluant des modules cryptographiques « prêts pour la PQC » qui supportent déjà les nouvelles normes. Cela facilitera toute transition future une fois la PQC bien établie, ou si une percée majeure en informatique quantique accélère fortement le calendrier du NIST. Lorsque des algorithmes classiques sont utilisés, augmenter la longueur des clés, et assurer une gestion correcte des clés, constituent une solution pratique qui augmente exponentiellement la puissance de calcul nécessaire, même pour les ordinateurs quantiques (à noter : tous les navigateurs web majeurs prennent déjà en charge les clés RSA de 4096 bits). Les données à long terme peuvent également être « doublement emballées » pour fournir une défense en profondeur contre les attaques « collecter maintenant, déchiffrer plus tard », même si je conseille ce niveau de sécurité uniquement pour les données qui resteraient précieuses pour des adversaires bien après l’attaque initiale.
Enfin, comme pour tout, adoptez une approche pragmatique basée sur les risques pour la sécurité de vos données. Bien que nous devions tous nous préparer dès maintenant à l’avenir post-quantique, le plus grand risque aujourd’hui pour les organisations provient d’attaques bien moins sophistiquées — mots de passe faibles, phishing et ingénierie sociale. Résolvez ces défis immédiatement tout en avançant vers l’échéance NIST de 2035.
