Pourquoi les entreprises doivent-elles passer à la cryptographie post-quantique ?

Le National Institute of Standards and Technology (NIST) du ministère américain du commerce a choisi le premier groupe d’outils de cryptage conçus pour résister à l’assaut d’un futur ordinateur quantique, qui pourrait potentiellement briser la sécurité utilisée pour protéger la propriété intellectuelle et la vie privée dans les systèmes numériques sur lesquels les entreprises comptent tous les jours, comme les services bancaires en ligne et les logiciels de messagerie.

L’annonce du 5 juillet devrait servir d’avertissement aux entreprises, estime Ali El Kaafarani, PDG de la société britannique PQShield, un pionnier technologique du Forum économique mondial et l’une des startups de la semaine 2021 de The Innovator. L’entreprise a contribué à un algorithme de chiffrement à clé publique et à trois algorithmes de signature numérique annoncés comme des normes par le NIST.

Lorsque des ordinateurs quantiques à grande échelle – des machines qui exploitent les phénomènes de la mécanique quantique pour résoudre des problèmes mathématiques difficiles ou insolubles pour les ordinateurs conventionnels – seront construits, ils seront en mesure de casser un grand nombre des systèmes de cryptage à clé publique actuellement utilisés, selon le NIST, un laboratoire de sciences physiques géré par le ministère américain du commerce.

Bien qu’il soit difficile de prévoir quand les ordinateurs quantiques seront perfectionnés, une fois qu’ils seront accessibles, tous les algorithmes à clé publique existants et les protocoles associés seront vulnérables aux criminels, aux concurrents et à d’autres mauvais acteurs. « Il est essentiel de commencer dès maintenant à planifier le remplacement du matériel, des logiciels et des services qui utilisent des algorithmes à clé publique, afin que les informations soient protégées des attaques futures », déclare El Kaafarani. « Les entreprises et les organisations doivent mettre en place une feuille de route de transition et déterminer quels sont les domaines les plus vulnérables afin de savoir par où commencer. La visibilité, c’est le pouvoir. »

Les mauvais acteurs adoptent déjà une approche « récolter maintenant, décrypter plus tard », en volant des informations cryptées et en les stockant sur leurs propres serveurs jusqu’à ce qu’ils puissent obtenir plus de puissance de calcul pour les décrypter. « Lorsque les ordinateurs quantiques seront disponibles, toutes les données qui auront été recueillies quelque part seront réellement lisibles, de sorte que chaque minute, chaque heure, chaque mois et chaque année où les entreprises ne prennent aucune mesure pour se protéger, elles remettent leur propriété intellectuelle, leurs dossiers médicaux et tout ce qu’elles stockent à quelqu’un qui pourra les décrypter plus tard », explique-t-il.

La menace quantique figure en bonne place dans l’agenda de la sécurité mondiale depuis des mois, les gouvernements et leurs partenaires ayant planifié leur transition vers la résistance quantique avant même l’annonce des normes du NIST. Dans une récente fiche d’information de la Maison Blanche faisant suite au sommet du G7, le déploiement de la cryptographie post-quantique était cité comme l’un des principaux défis du 21e siècle.

En janvier, un mémorandum de la Maison Blanche a demandé aux agences gouvernementales américaines d’identifier tout cryptage non conforme aux normes quantiques et de fournir un calendrier de transition. Par ailleurs, l’agence française de sécurité nationale ANSSI a recommandé l’introduction immédiate de défenses post-quantiques dans l’ensemble du secteur privé.

Selon M. El Kaafarani, il existe trois inconnues qui font qu’il est urgent que les entreprises et les organisations agissent.

La première est que « nous ne savons pas quand un ordinateur quantique sera capable de décrypter les informations envoyées sur l’internet », dit-il. « Les gens spéculent que cela pourrait être dans cinq, dix ou quinze ans, mais il n’y a aucune preuve que cela n’arrivera pas plus tôt ». La deuxième raison est que la première personne ou organisation à construire un ordinateur quantique pleinement opérationnel pourrait ne pas l’annoncer publiquement, ce qui signifie qu’un mauvais acteur pourrait l’utiliser pour commencer subrepticement à tout décrypter, des dossiers médicaux à la propriété intellectuelle des entreprises, sans que personne ne s’en rende compte. « La troisième inconnue – et c’est très critique – est que la majorité des organisations ne savent même pas combien de temps il faudra pour faire la transition vers la cryptographie post-quantique », dit-il. « Si vous examinez ces trois inconnues, vous comprendrez la nécessité de commencer à identifier pourquoi vous utilisez la cryptographie et comment vous l’utilisez et de définir une feuille de route de transition claire. Cela aurait dû être fait hier. Si vous n’avez pas commencé, vous êtes déjà en retard. »

Selon lui, la plupart des algorithmes de sécurité dont dépendent les entreprises sont utilisés dans les composants de nombreux systèmes de communication, de traitement et de stockage différents. « Cela va prendre jusqu’à dix ans pour changer tout ce qu’ils ont pour cette nouvelle norme ».

En effet, il a fallu près de deux décennies pour déployer l’infrastructure moderne de cryptographie à clé publique connue sous le nom de RSA, qui est largement utilisée pour la transmission sécurisée des données.

Ce qui est en danger

En 1994, un mathématicien nommé Peter Shor a mis au point un algorithme quantique qui, en théorie, permet à un ordinateur quantique suffisamment grand et tolérant aux pannes de craquer la majorité des systèmes de cryptage à clé publique actuellement utilisés.

La mauvaise nouvelle est que le RSA, un système de cryptage à clé publique largement utilisé pour la transmission sécurisée de données et les cousins connexes tels que la cryptographie à courbe elliptique (ECC), sera brisé par les technologies quantiques. La technologie blockchain est basée sur RSA et ECC. Au cours des trois à cinq prochaines années, la blockchain devra donc migrer vers des protocoles quantiques sûrs. Et ce n’est qu’un début. Aujourd’hui, il y a plus de 20 milliards d’appareils physiques dans le monde, comme les téléphones mobiles, les appareils IOT, les ordinateurs portables et les serveurs. Chacun d’entre eux aura besoin d’une mise à niveau logicielle pour les rendre sûrs sur le plan quantique, explique Jack Hidary, qui dirige SandboxAQ, une entreprise SaaS qu’il a détachée d’Alphabet, la société mère de Google, et qui fournit des solutions exploitant les technologies quantiques et l’IA et fonctionnant sur les plateformes informatiques classiques actuelles.  « La durabilité de notre système financier et du commerce électronique, par exemple, en dépend », a-t-il déclaré dans une interview accordée à The Innovator.

L’objectif de la cryptographie post-quantique est de développer des systèmes cryptographiques qui sont sécurisés à la fois contre les ordinateurs quantiques et classiques, et qui peuvent interopérer avec les protocoles et réseaux de communication existants.

« Le message est que la cryptographie post-quantique repose sur les mathématiques, ce qui signifie qu’elle fonctionne sur des ordinateurs classiques et qu’elle n’a besoin d’aucun élément quantique pour fonctionner, explique M. El Kaafarani. « C’est un remplacement un à un de la cryptographie que nous avons utilisée ».

En juin 2015, El Kaafarani est passé des laboratoires Hewlett-Packard à l’Institut de mathématiques de l’Université d’Oxford pour lancer un projet de cryptographie post-quantique. Peu de temps après, le NIST a annoncé qu’il commençait à travailler à la normalisation de la cryptographie post-quantique, ce qui montre clairement qu’il n’est plus impossible de disposer d’un ordinateur quantique pleinement fonctionnel et tolérant aux pannes.

L’idée de PQShield lui est venue au cours des trois années suivantes, alors qu’il observait que les entreprises ne faisaient pas assez d’efforts pour se préparer à ce changement monumental, dit-il. PQShield a été officiellement lancé en mai 2018 avec l’aide de l’Institut mathématique d’Oxford, d’Oxford University Innovation et d’Oxford Sciences Innovation. Elle travaille avec le NIST sur les normes depuis sa création.

PQShield offre « une solution de bout en bout en termes de matériel et de logiciel » et peut en outre évaluer « ce qu’une entreprise peut encore améliorer dans son architecture de sécurité », explique El Kaafarani. Un élément clé de différenciation est que certains de ses chercheurs et ingénieurs jouent un rôle actif dans le développement du processus de normalisation de la cryptographie post-quantique du NIST.

Les contributions de PQShield ont été adoptées comme première norme pour une suite complète de cryptage à clé publique et de signatures numériques.

« Nous avons co-développé et co-conçu les algorithmes en collaboration avec d’excellents chercheurs et ingénieurs, et la communauté de la cryptographie/sécurité au sens large les a analysés », explique El Kaafarani. « C’est pourquoi ces algorithmes inspirent confiance, ils ont été examinés de près par la communauté mondiale de la cryptographie pendant six ans. »

La prochaine étape consiste à rédiger un document qui définit tout ce qui concerne les algorithmes, mais le travail du NIST n’est pas terminé. L’objectif est d’adopter plus d’une suite d’algorithmes en tant que normes, de sorte que si l’une d’entre elles est éventuellement piratée, il y en aura d’autres, issues de différents domaines mathématiques, sur lesquelles s’appuyer, explique-t-il.

« Les travaux sur la transition n’ont pas à attendre les normes complètes du NIST, car la cryptographie hybride permet aux praticiens de déployer en toute sécurité des schémas résistants au quantum sans compromettre les niveaux de sécurité », conclut un article paru le 12 mai dans Nature, rédigé par M. Hidary de Sandbox AI et neuf autres experts du secteur. L’article recommande que les travaux sur la transition vers l’informatique post quantique commencent dès que possible et que les entreprises expérimentent différentes familles d’algorithmes d’informatique post quantique.

cryptographie

SEO INSIDE est une agence de création de site internet (notamment…).

 

--

 

SEO Inside est une agence web et SEO - en savoir plus sur nous:

Agence web / Audit SEO / Conseil SEO / Création de site internet / Refonte de site internet optimisé pour le SEO / Référencement naturel / Référencement local /Netlinking / Formation SEO / E-Réputation et avis

Voici nos implantations :
Lille / Dunkerque / Amiens – ce sont nos 3 bureaux historiques.

Puis voici nos zones géographiques d’intervention :
Paris / Abbeville / Rouen / Compiègne / Reims / Metz / Caen / Evreux / Nancy / Colmar / Rennes / Le Mans / Orléans / Dijon / Besançon / Angers / Nantes / La Rochelle / Poitiers / Limoges /Clermont-Ferrand / Lyon / Annecy / Grenoble / Valence / Bordeaux / Montauban / Toulouse / Biarritz / Montpellier / Marseille / Cannes / Nice / Avignon / Monaco

SEO INSIDE est une agence web spécialiste en référencement naturel qui se veut proche de vous. Contactez-nous pour discuter de vos projets.