Avec les meilleurs supercalculateurs actuels, le temps de cassage par force brute d’une clé de chiffrement à 128 bits s’évalue en milliards de milliards d’années. 

Recourir à un algorithme comme AES-128 pour les clés de chiffrement symétriques semble donc nous prémunir pour longtemps du déchiffrement de nos données sensibles. 

C’est sans compter plusieurs phénomènes. 

D’une part, pour de nombreuses applications, nous n’utilisons pas des clés symétriques, mais des clés asymétriques, telles les clés RSA-2048. Ces dernières n’offrent toutefois qu’un niveau de sécurité équivalent à celui d’une clé symétrique de 112 bits, plus facile à casser.

D’autre part, non seulement la puissance des ordinateurs “classiques” augmente régulièrement, mais il est aussi possible de les associer en grand nombre pour accélérer encore le décryptage par force brute. 

Enfin, 2030 peut être considéré comme un horizon réaliste pour l’arrivée d’ordinateurs quantiques opérationnels offrant plusieurs milliers de qubits qui laissent augurer une puissance de traitement colossale pour réaliser des exactions. 

En particulier, l’exploitation de l’algorithme de Shor (factorisation en nombres premiers, qui est l’un des principes de génération des clés publiques RSA) sur des systèmes quantiques promet des gains sur les temps de cassage. Il suffirait alors de quelques heures, selon certains experts, pour casser une clé RSA-2048.

Le NIST (National Institute of Standards and Technology) estime qu’à l’horizon 2035, un niveau de sécurité de 128 bits pour une clé symétrique (équivalent à celui d’une clé RSA-3072) ne sera plus suffisant, et ne sera donc plus autorisé en termes de preuve de bonne gestion du risque. 

Les données sensibles de courte durée de vie, comme les codes temporaires d’authentification à deux facteurs, les données de transactions instantanées (transactions financières qui n’ont plus d’intérêt après le traitement), ou encore la localisation en temps réel n’ont de valeur que durant quelques secondes. 

Protéger ces données par l’allongement de la clé de chiffrement (passer à AES-256 sur le chiffrement symétrique, par exemple) est aujourd’hui largement suffisant puisqu’aucune puissance informatique ne permet de déchiffrer les données en quelques secondes. Les systèmes de cryptographie quantique prendront éventuellement le relai pour les plus critiques d’entre elles.

La problématique est tout autre pour des données volumineuses, à longue durée de vie et protégées par des clés asymétriques. En plus d’un schéma d’organisation interne qui doit complexifier la lecture intelligente de ces données, celles-ci doivent être cryptées avec un système résistant dans le temps (des années voire des dizaines d’années selon leur criticité et leur utilisabilité). Car l’informatique quantique permettra d’accélérer les attaques par force brute, en particulier sur des données déjà dérobées. C’est le principe du « harvest now, decrypt later » .

Dans cette vision à long terme, le NIST travaille depuis des années avec les éditeurs et chercheurs spécialistes de la sécurité sur d’autres méthodes de chiffrement. 

Son objectif est de définir un standard résistant aux ordinateurs – quantiques comme classiques – des attaquants, sans rendre les temps de chiffrement/déchiffrement pénalisants pour les utilisateurs.

C’est ce qu’on rassemble sous le vocable de cryptographie post-quantique (CPQ) ou, en anglais, post-quantum cryptography (PQC), où post-quantum est parfois remplacé par quantum-resistant, quantum-safe ou quantum-proof.

Au-delà de l’allongement des clés (pour se protéger des attaques par force brute), la cryptographie post-quantique met en œuvre de nouveaux algorithmes de génération des clés publiques à partir des clés privées. Le reverse engineering de la méthode choisie doit être « impossible », ou du moins suffisamment long et coûteux en termes de ressources nécessaires pour l’effectuer. 

Ce n’est par exemple plus le cas de RSA, qui s’appuie sur la simple factorisation de nombres premiers : même si ces derniers sont très grands, cet algorithme est à la portée d’un système quantique. 

Avec une communauté de milliers de spécialistes de la sécurité, le NIST évalue donc plusieurs algorithmes mathématiques complexes. La compétition pour établir un futur standard a démarré en 2016 avec la proposition de 69 standards. Certains algorithmes ont été cassés, donc rejetés. De nouveaux sont venus s’y ajouter. Ainsi, en août 2024, le NIST a finalisé trois standards, connus sous les noms de FIPS 203, FIPS 204 et FIPS 205. Un quatrième, FIPS 206, basé sur l’algorithme Falcon, sera prochainement finalisé. Un cinquième, connu sous le nom de HQC, beaucoup plus résistant, mais fortement consommateur de ressources, devrait être publié en 2027 en tant que backup s’il s’avère que les ordinateurs quantiques sont capables de craquer l’algorithme ML-KEM utilisé dans FIPS 203.

Pourquoi y aurait-il urgence à s’intéresser à la cryptographie post-quantique alors que les standards ne sont pas définis et les solutions commerciales pas encore disponibles ? 

Parce que changer de système de chiffrement prend beaucoup de temps, d’autant qu’il est souvent disséminé sous forme de briques au sein du système d’information et implémenté dans de multiples applications provenant d’éditeurs différents. Également parce qu’il s’agira d’implémenter un système hybride pour gérer les interactions avec les partenaires de l’entreprise.

Bien que la cryptographie post-quantique en soit encore à ses balbutiements, il est aujourd’hui nécessaire de s’y intéresser, car les technologies quantiques fragilisent les systèmes de chiffrement actuels. Le travail de cartographie du besoin doit donc commencer dès à présent.