La quête visant à protéger les données numériques du monde entier contre les attaques des ordinateurs quantiques de nouvelle génération est sur le point de franchir une étape critique, alors que les autorités américaines dévoilent une série d’outils de protection.
Le National Institute of Standards and Technology est sur le point de publier trois algorithmes de sécurité approuvés que les gouvernements et les entreprises peuvent utiliser pour protéger les informations contre la menace émergente du piratage quantique.
L’action du NIST s’inscrit dans le cadre d’une révolution croissante dans le domaine de la cryptographie, en réponse aux craintes que les ordinateurs quantiques soient un jour capables de déchiffrer des codes protégeant des données sensibles qui se sont révélés pendant des décennies indéchiffrables par des machines traditionnelles moins puissantes. Les données chiffrées sont essentielles au fonctionnement des sociétés modernes à l’ère numérique – et leur sécurité est essentielle pour les individus, les entreprises et les gouvernements.
Alors que des secteurs comme la finance et les télécommunications planifient intensément la transition, d’autres entreprises potentiellement vulnérables n’ont fait que peu ou pas de préparatifs.
« Ce sera énorme et coûteux », a déclaré Dustin Moody, responsable du processus de normalisation de la cryptographie post-quantique du Nist, à propos du changement de sécurité imminent.
« Nous avons besoin de nouvelles solutions qui nous protégeront contre les attaques de ces futurs ordinateurs quantiques. Une grande partie de notre sécurité et de nos activités en ligne (transactions financières, informations médicales) sont protégées par cryptographie. »
Le NIST, qui fait partie du ministère américain du Commerce, attend la validation des trois normes, qu’il a soumises à commentaires l’année dernière. Les algorithmes font partie d’un ensemble plus vaste Préparations du NIST pour l’ère de la cryptographie post-quantique, impliquant la contribution d’entreprises technologiques de premier plan, de banques et d’autres entreprises et chercheurs.
Les agences fédérales américaines seront obligées d’utiliser les nouveaux algorithmes. Bien que les entreprises privées ne soient pas obligées de faire de même, de nombreuses organisations aux États-Unis et ailleurs ont par le passé suivi l’exemple du NIST en matière de cryptographie.
Les ordinateurs quantiques ont un potentiel révolutionnaire en raison de leur puissance supplémentaire pour traiter les nombres. Alors que les machines standard utilisent des bits binaires qui existent soit dans l’un des états 0 ou 1, les « qubits » de leurs homologues quantiques peuvent être dans les deux états simultanément. Cela signifie qu’ils peuvent effectuer certaines tâches – comme la recherche de moyens de déverrouiller des méthodes de protection des données de longue date – de manière exponentiellement plus rapide.
Les ordinateurs quantiques sont encore loin d’être commercialisés car leurs qubits ne conservent leurs états quantiques que pendant de très courtes périodes, introduisant des erreurs, ou « bruit », dans les calculs.
Il y a trente ans, le mathématicien américain Peter Shor a montré sur le plan théorique que les ordinateurs quantiques dotés d’un nombre suffisant de qubits stables pouvaient résoudre les problèmes mathématiques sous-jacents à la cryptographie traditionnelle. De telles machines n’existent pas encore, mais les progrès technologiques laissent entrevoir que ce moment critique, connu sous le nom de Q-day, pourrait un jour être atteint.
Les travaux du NIST sont au cœur des préparatifs du Q-day. Il a reçu des propositions de chercheurs de plus de 30 pays sur six continents, reflétant un intérêt commun pour la lutte contre le cyberterrorisme et l’extorsion. Des scientifiques chinois ont participé au processus du NIST, mais Pékin travaille également sur ses propres règles de cryptographie pour l’ère de l’informatique quantique.
Les normes du NIST seraient « une sorte de catalyseur qui inciterait les gens à passer à l’action », a déclaré Lory Thorpe, un dirigeant d’IBM qui travaille avec des clients sur la sécurité quantique.
« Pour certains secteurs, ce n’est pas quelque chose que les entreprises peuvent faire elles-mêmes », a déclaré Thorpe. « Cela va donc nécessiter un certain niveau de coordination, notamment en ce qui concerne les normes. »
Certaines entreprises ont déjà commencé à déménager, tandis que d’autres pourraient être plus susceptibles d’envisager un déménagement après avoir vu l’impact de la panne informatique mondiale du mois dernier. En février, Apple a déclaré qu’elle avait a sécurisé son iMessage système doté d’un « protocole cryptographique post-quantique révolutionnaire ».
En revanche, d’autres secteurs d’activité – et de nombreuses petites entreprises – sont moins avancés. Les entreprises qui s’occupent de la logistique de la chaîne d’approvisionnement sont parmi celles qui doivent le plus se concentrer sur le changement, selon les observateurs.
L’un des problèmes qui se pose dans le cadre de l’adoption de nouvelles méthodes cryptographiques est qu’il n’existe pas de date limite précise pour la menace de l’informatique quantique. À première vue, elle peut paraître moins urgente que les précédents risques informatiques ponctuels, comme le « bug de l’an 2000 ».
Pourtant, les experts affirment que la menace est déjà là. Les pirates informatiques sont capables d’adopter une approche consistant à « récolter maintenant, décrypter plus tard », ce qui signifie qu’ils peuvent voler des données aujourd’hui, puis les stocker jusqu’à ce que la technologie informatique quantique capable de les déchiffrer soit développée.
La publication des normes du NIST va alimenter le débat sur les meilleurs types de cryptographie de nouvelle génération. Alors que les nouveaux algorithmes utilisent des méthodes informatiques classiques de chiffrement, certains chercheurs développent des moyens d’exploiter la puissance impressionnante de la mécanique quantique comme outil de défense.
Cette idée, connue sous le nom de distribution de clés quantiques, exploite un phénomène connu sous le nom d’intrication quantique. Il s’agit de la manière dont les caractéristiques de deux particules subatomiques peuvent être liées, même si elles sont séparées par une grande distance. En mesurant les données d’une particule, vous pouvez déduire des informations de l’autre, permettant à la paire de servir de clés pour échanger des messages codés.
L’un des grands avantages de cette technique est que si quelqu’un tente d’écouter de telles communications, la perturbation du système avertira les deux parties qu’elles sont espionnées.
D’un autre côté, cette technologie présente un inconvénient potentiel important en matière de sécurité. Si l’élément quantique de la communication est sécurisé, l’équipement utilisé pour la transmettre et la relayer ne l’est pas.
Selon les experts, la cryptographie de nouvelle génération associera probablement des techniques classiques et quantiques, en fonction des besoins et des utilisateurs. La méthode de distribution de clés quantiques conviendra probablement aux parties qui se font confiance, communiquent souvent et ont un contrôle strict sur l’infrastructure physique qu’elles utilisent.
La finalisation des algorithmes du NIST sera un moment décisif dans les préparatifs mondiaux pour la nouvelle ère de la cryptographie. Elle devrait déclencher une réaction de la part de ceux qui sont jusqu’à présent « restés sur la touche », a déclaré Luke Ibbetson, responsable de la recherche et du développement chez l’entreprise de télécommunications britannique Vodafone.
« Même parmi les personnes conscientes de la menace, les gens sont réticents à agir tant que nous n’aurons pas publié de normes émanant d’organismes comme le NIST », a déclaré M. Ibbetson, qui travaille sur la cryptographie avec d’autres entreprises de télécommunications d’Europe, des États-Unis et d’Asie. « Ce sera donc un peu comme si on donnait le coup d’envoi. »