Lorsqu’ils seront opérationnels, les ordinateurs quantiques constitueront une sinistre menace pour les systèmes cryptographiques actuels, car ces ordinateurs peuvent potentiellement briser de nombreux protocoles utilisés aujourd’hui. Les techniques cryptographiques préquantiques reposent sur des formules mathématiques qui nécessitent des capacités de calculs hors de portée pour un groupe de hackers qui utilise l’informatique conventionnelle. Par exemple, la résistance de l’algorithme de chiffrement à clé publique RSA repose sur la factorisation des grands nombres, une opération difficile pour les capacités de calcul des ordinateurs actuels, à moins d’amasser une puissance de calcul gigantesque et de disposer de quelques milliers d’années.
Mais avec l’avènement proche des ordinateurs quantiques, l’opération peut être complétée en quelques secondes. Ceux-ci sont capables de résoudre certains problèmes mathématiques beaucoup plus rapidement que les ordinateurs classiques, notamment la factorisation des grands nombres et la résolution du problème du logarithme discret. De fait, aucun système cryptographique actuellement utilisé pour sécuriser les communications et les données ne peut résister à un ordinateur quantique, des transactions en ligne, aux informations bancaires et aux données sensibles des entreprises et des organismes publics et gouvernementaux.
Les algorithmes PQC à la rescousse
Pour faire face à cette menace, la cryptographie post-quantique (PQC) est un domaine de la cryptographie qui traite du développement d’algorithmes cryptographiques résistants aux attaques des ordinateurs quantiques. Outre les organismes de normalisation, de nombreux fournisseurs de technologie prennent des initiatives pour fournir aux entreprises, parfois gratuitement comme vient de l’annoncer Cloudflare, des technologies post-quantiques en proposant des services, des bibliothèques, du matériel et des normes.Les organismes de régulation et normatifs fédèrent les contributions pour développer des technologies algorithmiques et des protocoles qui reposent sur des problèmes mathématiques considérés comme difficilement violables, même pour les ordinateurs quantiques, tels que la cryptographie à base de treillis ou de hachage. Dans ce domaine, les États-Unis ont pris de l’avance sur les Européens. En juillet 2022, le NIST (National Institute of Standards and Technology) a dévoilé la liste des quatre algorithmes lauréats du troisième tour et candidats à la normalisation PQC. Le processus de normalisation est à présent dans sa quatrième phase, au cours de laquelle les quatre algorithmes seront normalisés.
L’écosystème se met en place
Quatre autres candidats supplémentaires pour le mécanisme d’encapsulation des clés ont été introduits pour le quatrième tour. De son côté, l’Institut européen des normes de télécommunications (ETSI), l’organisme de normalisation des technologies, dont la cryptographie, évalue les algorithmes cryptographiques post-quantiques afin de déterminer s’ils conviennent à différentes applications et à différents environnements. L’organisation développe également des suites de tests et des critères d’évaluation pour aider les entreprises et les organisations à évaluer la sécurité et les performances des algorithmes cryptographiques post-quantiques.Du côté des fournisseurs, l’écosystème se met en place. De nombreuses initiatives et offres (payantes et gratuites) ont été prises, proposant des services, des bibliothèques, du matériel et des normes. Les fournisseurs de services dans le cloud tels qu’AWS, Google Cloud et Microsoft Azure proposent des services de cryptographie post-quantique qui peuvent être intégrés dans les applications et les systèmes des clients. De nombreux fournisseurs de technologies développent des bibliothèques cryptographiques post-quantiques qui pourront être intégrées par les développeurs de logiciels dans leurs applications. Les fournisseurs de matériel travaillent sur des modules de sécurité matériels (Hardware security modules), des dispositifs utilisés pour stocker des clés et effectuer des opérations cryptographiques.
En tirant parti de ces initiatives, les entreprises peuvent se préparer à l’ère de l’informatique quantique et s’assurer que leurs données restent sécurisées. En commençant par évaluer leur infrastructure cryptographique actuelle, les entreprises peuvent répertorier les systèmes utilisés dans l’organisation, déterminer le chemin de migration et les solutions les plus appropriées, et enfin les moyens à mettre en œuvre pour cette transition et le calendrier.