LMi-MAG23 Sept - Flipbook - Page 37
Le quantique, une menace sur le chiffrement
asymétrique des données
Store Now and Decrypt Later n’est pas
une fiction
Selon Vasco Gomes, Global CTO CyberSecurity Products
chez Eviden, filiale d’Atos, ces potentielles attaques sont
bien réelles même s’il est compliqué de déterminer
à quelle date elles opéreront. « Ce n’est pas comme le
bug de l’an 2000 où nous connaissions précisément la
date. Avec le quantique, le contexte est différent, nous
sommes encore dans l’incertitude, à l’heure actuelle, les
ingénieurs et chercheurs travaillent toujours à la stabilisation des qubits, mais il suffit d’une avancée pour faire
accélérer les choses. » Et comme le rappelle le porte-parole d’Atos, la technologie quantique est en réalité déjà
accessible via les offres as a service dédiées. « De plus,
rien n’empêche aujourd’hui un cybercriminel de capter
des informations cryptées via le WiFi par exemple, de les
stocker, de pouvoir les déchiffrer et de les lire (menace
du Store Now and Decrypt Later, ndlr) dès qu’il aura
accès à de la puissance quantique. Bien sûr, la valeur
d’une grande partie de ces informations n’aura peutêtre que peu d’intérêt dans les dix ans à venir, mais il y a
toujours des données très critiques (propriété intellectuelle, activités sensibles et secrètes, ndlr) qui peuvent
déstabiliser une entreprise ou un Etat. »
Un avis que partage aussi Guillaume Poupard, directeur
général adjoint de Docaposte (ex-directeur de l’Anssi) :
« C’est une menace réelle. Des organisations qu’elles
soient étatiques, privées ou autres récoltent déjà des
données en prévision de les décrypter plus tard dès que
la puissance quantique le permettra. J’aime à faire ce
parallèle historique autour du projet Venona pour lequel
les renseignements américains ont enregistré les communications russes pendant la Seconde Guerre mondiale
et qu’ils ont, des années plus tard, pu en décrypter la moitié suite à une réutilisation des clés de chiffrement par
les russes alors que ces clés étaient supposées ne servir
qu’une seule fois. » Dans ce contexte, il est primordial que
les organisations privées et publiques se préparent, dès
maintenant, à un inventaire précis des risques potentiels
sur les applications qui utilisent la cryptographie à clé
publique. Car c’est bien tout le SI qui est menacé.
Pour Nicolas Proust, directeur de la stratégie chez Pasqal,
il faut aussi voir cette menace comme une opportunité
pour les entreprises : « Considérons cette menace comme
une évolution naturelle des technologies, cela signifie que
l’architecture quantique arrivera à maturité et ouvrira à
de nombreux cas d’usages dont la cybersécurité. » A ce
titre, Pasqal promet, dès 2024, un ordinateur à 1000 qubits
basé sur sa technologie à atomes neutres, et va officialiser l’installation de processeurs quantiques cette année
sur deux sites de calcul haute performance, le premier en
France et le deuxième en Allemagne. Les 1000 qubits en
2024 seront donc atteints sachant qu’il serait nécessaire
de disposer de 2051 qubits pour casser une clé RSA de 1024
bits. Certes par sûreté, il est couramment recommandé
que la taille des clés RSA soit au minimum de 2048 bits.
© DR
C
ertes, ce ne sera pas en 2024 qu’une attaque
quantique se produira, mais plutôt dans une
quinzaine d’années à en croire les experts du
rapport 2023 émis par le Global Risk Institute
(Quantum Threat Timeline Report). En effet, il existe une
grande probabilité qu’une attaque quantique se fasse à
cette période pour briser le chiffrement par clé publique
(ou asymétrique) utilisée dans la cryptographie. Deux de
ces experts avancent même la possibilité d’une attaque
dans les cinq ans. C’est très inquiétant quand on sait
que la cryptologie est présente absolument partout, de
la sécurisation des communications 5G et Internet aux
transactions bancaires ; ça l’est d’autant plus qu’il s’agit,
selon Florent Grosmaitre, CEO de CryptoNext Security
(start-up fondée en 2019 et spin-off de l’université de
la Sorbonne, de l’INRIA et du CNRS), d’une attaque par
force brute, non détectable : « Il est donc probable que le
jour où cette menace se produira, cette information ne
soit pas, en réalité, rendue publique.» Face à ce constat,
l’Europe, via l’European Policy Center, a même rédigé
un document appelant l’UE à adopter un plan d’action
coordonnée pour se préparer aux cyberattaques basées
sur le quantique.
PROFIL LINKEDIN
tinyurl.com/linkedin-Gomes
VASCO GOMES
Global CTO CyberSecurity
Products chez Eviden,
昀椀liale d’Atos
« Rien n’empêche aujourd’hui un cybercriminel de capter des informations
cryptées via le WiFi par exemple, de les stocker, de pouvoir les déchiffrer
et de les lire dès qu’il aura accès à de la puissance quantique. »
37
