L’apocalypse quantique n’est pas pour demain, mais il faut l’anticiper

Face aux progrès réalisés dans le domaine de l’informatique quantique, le risque de voir un jour les clés RSA cassées par des ordinateurs surpuissants est pris très au sérieux au niveau international. La riposte post-quantique s’organise.

Depuis quelques années, au rythme des annonces des acteurs du marché et des travaux des laboratoires de recherche, un certain nombre d’experts pose la question de savoir si les progrès réalisés par l’informatique quantique permettront un jour de casser les algorithmes de chiffrement actuels. Les enjeux sont colossaux. Par exemple, si les clés du plus célèbre de ces algorithmes – RSA – venaient à être brisées, ce serait toute la protection de la sécurité de l’Internet public qui vacillerait.

La sécurité de l’ensemble de nos communications et transactions numériques repose en effet aujourd’hui sur la cryptographie à clé publique (PKC, pour Public Key Cryptography). Celle-ci permet de sécuriser les communications entre des utilisateurs ou des serveurs. Deux fonctionnalités principales sont mises en œuvre : l’établissement de canaux sécurisés (établissement de clés) et l’authentification d’informations numériques.

« Ces techniques reposent essentiellement sur deux problèmes mathématiques : la factorisation de grands nombres et le calcul de logarithme discret. Ceux-ci sont dimensionnés pour être impossibles à résoudre en un temps raisonnable compte tenu des ressources informatiques et des connaissances mathématiques actuelles. Par exemple, l’algorithme à clé publique RSA, largement reconnu et déployé, repose sur la factorisation de grands nombres », peut-on lire dans une note de l’Anssi datant de 2022.

Or dans l’hypothèse où un ordinateur quantique viendrait à être mis au point, la factorisation de grands nombres et le calcul de logarithme discret pourraient être résolus dans des temps plus que raisonnables (de l’ordre de quelques jours, voire de quelques heures). Cela entraînerait un inévitable effondrement de la sécurité de la cryptographie à clé publique actuellement déployée dans le monde, compromettant la confidentialité et l’intégrité des communications numériques sur Internet et ailleurs.

L’algorithme de Shor, clé de voûte de l’effondrement potentiel de la cryptographie à clé publique

Cet effondrement serait facilité par l’existence, depuis 1994, de l’algorithme de Shor, mis au point par le mathématicien américain du même nom (Peter Shor). Cet algorithme est capable de résoudre des problèmes mathématiques extrêmement complexes, comme la factorisation de grands nombres. L’algorithme de Shor étant un algorithme quantique, il ne peut pas être exécuté sur des ordinateurs classiques. Mais si des ordinateurs quantiques dignes de ce nom venaient à voir le jour, son exécution serait alors rendue possible.

Actuellement, les prototypes d’ordinateurs quantiques existants sont encore loin de la capacité et de la stabilité requises pour réaliser cet exploit technologique. « Je suis extrêmement sceptique et prudent sur l’éventualité qu’un ordinateur quantique puisse casser une clé RSA. Il faudrait pour cela des ordinateurs quantiques possédant un très grand nombre de qubits – au minimum quelques centaines de milliers – avec une qualité de qubits que nous n’avons pas aujourd’hui et que nous en sommes pas prêts d’avoir. Il existe un obstacle technologique énorme avant d’y parvenir », analyse Olivier Ezratty, expert du sujet et auteur du livre Understanding Quantum Technologies.

Il est néanmoins indispensable de se préparer à l’arrivée de véritables ordinateurs quantiques, que les experts désignent par « CRQC », pour « Cryptographically Relevant Quantum Computers », par opposition aux ordinateurs quantiques actuels, appelés NISQ, pour « Noisy Intermediate Scale Quantum computers ».

La raison de cette nécessaire « préparation au pire » est simple : des attaques rétroactives pourraient être menées. Ces attaques, appelées en anglais « Store now, decrypt later attacks » (stocker maintenant, déchiffrer plus tard), consistent à capter aujourd’hui des communications chiffrées dans le but de les déchiffrer ultérieurement. Dans certaines situations, certes très rares, cela pourrait représenter une menace pour des informations devant être protégées sur le long terme, comme dans le secteur de la défense ou de la santé.

La cryptographie post-quantique pour éviter toute apocalypse

C’est la raison pour laquelle la menace quantique est prise très au sérieux par l’ensemble des pays les plus en pointe sur le sujet. Aux États-Unis, l’autorité de normalisation américaine NIST (National Institute of Standards and Technology) a lancé, dès 2016, un appel international à contributions appelé « Post-Quantum Cryptography Standardization ». Au départ, plusieurs dizaines d’algorithmes de chiffrement, tous capables de résister aux ordinateurs quantiques de type CRQC, ont été sélectionnés. Au cours du troisième « round », qui a pris fin en juillet 2022, il ne restait plus que quatre de ces algorithmes post-quantiques.

Les chercheurs français sont d’ailleurs très fortement impliqués dans ces travaux. Pour le chiffrement à clé publique et les algorithmes d’établissement de clé, le seul algorithme retenu est Crytals -Kyber. Il implique un consortium dont fait partie Damien Stehlé, professeur à l’ENS de Lyon et membre du Laboratoire de l’informatique du parallélisme (LIP – CNRS / ENS de Lyon / Université Claude Bernard Lyon 1).

Le même enseignant-chercheur est impliqué dans Crytals-Dilithium, algorithme qui doit servir cette fois-ci à la génération de signatures électroniques. Dans cette catégorie, deux autres algorithmes ont été retenus, dont Falcon, auquel a participé Pierre-Alain Fouque, professeur à l’Université de Rennes 1 et membre de l’Institut de recherche en informatique et systèmes aléatoires (IRISA – CNRS / Université de Rennes 1).

Pour l’Anssi, la cryptographie post-quantique représente également la voie la plus prometteuse pour se prémunir contre la menace quantique. « La cryptographie post-quantique est un ensemble d’algorithmes cryptographiques classiques comprenant les établissements de clés et les signatures numériques et assurant une sécurité conjecturée (pour laquelle aucune attaque quantique efficace n’existe aujourd’hui, NDLR) contre la menace quantique, en plus de leur sécurité classique. Les algorithmes post-quantiques peuvent être exécutés sur des appareils et ordinateurs classiques. Ainsi, ils peuvent être déployés sur les infrastructures et canaux de communications existants sans modification matérielle majeure, contrairement à la distribution quantique de clés. De plus, ces algorithmes ne sont pas seulement destinés à être utilisés après la construction d’un CRQC, ils peuvent être facilement déployés par anticipation », déclare l’Agence nationale de la sécurité des systèmes d’information.

Olivier Ezratty se veut, lui aussi, rassurant : « Le jour où un ordinateur quantique sera éventuellement capable de casser une clé RSA, le monde entier aura déployé les technologies permettant de s’en prémunir. Les efforts de standardisation entrepris par le NIST ont pour vocation de remplacer les clés RSA par des clés publiques modernes qui résisteraient aux coups de boutoir de n’importe quel ordinateur quantique. »

Mais attention, prévient l’Anssi. Bien que la nouvelle boîte à outils post-quantique fournie par le NIST puisse sembler commode pour les développeurs, le niveau de maturité des algorithmes post-quantiques ne doit pas être surestimé. « Pour différents aspects de leur sécurité, l’on manque encore de recul cryptanalytique ou l’on en est même au stade de la recherche, qu’il s’agisse de l’analyse de la difficulté du problème sous-jacent dans des modèles de sécurité classiques et quantiques, du dimensionnement, de l’intégration des algorithmes dans des protocoles de communication ou (plus encore) de la conception d’implémentations sécurisées. Cette situation perdurera pour un temps après la publication des normes NIST », conclut l’Anssi.