Quantique & cybersécurité : un nouveau défi à anticiper

Jean-Christophe Zapalowicz, notre expert cybersécurité chez Softeam, a co-rédigé un article avec Christian d’Orival chez CryptoNext Security pour faire le point sur ce que l’arrivée de l’ordinateur quantique implique pour la cryptographie. Découvrez leur analyse ci-dessous.

 

Aujourd’hui, le quotidien d’un certain nombre de RSSI tourne beaucoup autour :

• des nouvelles règlementations européennes, telles que NIS2, DORA ou le Cyber Resilient Act (CRA), se traduisant par des analyses d’écart, des plans d’action et la mise en place de projets ;
• des sujets de souveraineté et de dépendance, actualité géopolitique oblige.

 

Pour autant un domaine de recherche, un peu moins sur le devant de la scène que l’Intelligence Artificielle, continue ses avancées et doit absolument rester dans nos radars : l’ordinateur quantique.

 

Est-ce un mythe ou une réalité ?

Pour être tout à fait clair sur l’état des recherches, on ne peut pas formellement garantir avec certitude à ce jour qu’un ordinateur quantique pertinent pour la cryptographie (ie. ayant les capacités et la stabilité nécessaires pour implémenter les algorithmes que nous allons évoquer ci-dessous) verra le jour. En effet, il reste de nombreux défis de recherche en physique, en ingénierie et en informatique qu’il faudra réussir à surmonter.

Toutefois, il est essentiel, à l’instar des agences de sécurité, de noter :

• L’existence de démonstrateurs produits disposant de plus en plus de « vrais qubits[1]». En outre, les équipementiers d’ordinateurs quantiques présentent des feuilles de route très précises prévoyant quasiment tous, la disponibilité d’un ordinateur quantique suffisamment puissant pour “ casser” la cryptographie asymétrique au plus tard en 2033
• L’optimisation constante des algorithmes utiles (tels que l’algorithme de Shor) pour l’ordinateur quantique permettent de réduire drastiquement le nombre de « vrais qubits » nécessaires pour menacer la cryptographie à clé publique déployée aujourd’hui

En conclusion, la barre à atteindre en termes de qubits se réduit à la fois par des améliorations sur l’ordinateur quantique et par des améliorations algorithmiques. En conséquence, la date de la menace se rapproche continuellement.

 

Pourquoi serait-ce une menace pour la sécurité informatique ?

La cryptographie est divisée en deux branches bien distinctes : la cryptographie symétrique également appelée cryptographie à clé secrète et la cryptographie à clé publique aussi dite asymétrique.

On retrouve surtout la cryptographie à clé publique pour des besoins de chiffrement via un schéma de chiffrement hybride (un schéma à clé publique pour l’échange d’une clé secrète puis un schéma symétrique pour le chiffrement, ceci pour des raisons de performances) et pour l’authentification via un schéma de signature électronique.

La cryptographie à clé publique repose sur des problèmes supposés difficiles (NP), les plus répandus étant le problème de la factorisation de grands nombres (ex : RSA) et le problème du logarithme discret (ex : DSA, ECDSA).

Malheureusement, ce sont deux problèmes qui pourraient être atteignables par un ordinateur quantique pertinent pour la cryptographie, grâce à l’algorithme de Shor[2].

 

Pourquoi s’y intéresser dès maintenant ?

Deux risques sont déjà d’actualité si l’on fait l’hypothèse de l’existence prochaine de l’ordinateur quantique pertinent pour la cryptographie, même s’ils ne concernent pas tout le monde :

• Le risque lié à la possibilité pour un attaquant d’enregistrer dès maintenant les communications chiffrées pour les déchiffrer plus tard grâce cet ordinateur, appelé HDNL (Harvest Now, Decrypt Later). A titre d’exemple on peut penser aux informations déterminantes échangées entre les acteurs en charge de la construction d’une centrale nucléaire ITER
• Le risque d’une usurpation d’identité grâce à cet ordinateur pour des documents signés aujourd’hui avec un besoin de validité à long terme, tels que les documents notariés.

La seconde raison est que la migration vers la cryptographie post-quantiques, ie. résistante à la menace quantique, ne sera généralement pas un projet pouvant se réaliser en quelques semaines, ni quelques mois. Il est donc nécessaire d’y réfléchir avant que cet éventuel ordinateur soit bien réel. C’est d’ailleurs pour cela que l’ANSSI, le BSI et le NCSC ont publié des analyses et leurs positions sur la migration vers la cryptographie post-quantique.

 

Quelles sont les recommandations ?

Globalement, la stratégie de migration recommandée s’appuie sur 2 notions :

• L’hybridation, consistant à combiner des algorithmes asymétriques post-quantiques avec des algorithmes asymétriques pré-quantiques reconnus. Ainsi la menace quantique est prise en compte avec les nouveaux algorithmes supposés résistants sans sacrifier la sécurité contre les attaquants actuels avec des algorithmes pré-quantiques dont la résistance a été éprouvée par de nombreuses années voire décennies de recherche.
• La crypto-agilité, consistant à rendre possible et « indolore » pour le SI l’ajout, la modification ou le retrait des algorithmes cryptographiques utilisés au sein du software comme du hardware. En effet, les algorithmes cryptographiques sont, aujourd’hui, assez régulièrement codés en dur[3] dans beaucoup de produits, impliquant des remises à niveau lourdes, invasives et impactantes lorsqu’il s’agit de les modifier.

 

Macro-planning d’une migration vers le post-quantique & difficultés à surmonter

Une migration vers le post-quantique peut se réaliser en 4 phases :

Une phase d’évaluation 

En effet, les changements cryptographiques de cette envergure sont un processus disruptif.  Il est toujours pertinent de commencer par des projets pilote mettant en œuvre de l’hybridation, tels qu’un proxy ou une passerelle VPN, sur des protocoles de communication largement déployés (TLS, IPSec…) afin de bien mesurer et éventuellement mitiger les futurs impacts. On peut en particulier penser :

• aux problématiques d’interconnexion qui nécessitent que les 2 extrémités soient cryptographiquement compatibles.
• aux problématiques de latence réseau liées tant aux algorithmes post-quantiques qu’à la surcouche induite par l’hybridation, qui génèrent de la fragmentation de paquets à des niveaux bien plus importants qu’auparavant. Il est à noter que la cryptographie post-quantique ne pose pas de problèmes de performance, certains algorithmes étant même plus rapides que la cryptographie traditionnelle, à l’instar de ML-DSA par rapport à RSA en mode signature.

Les objectifs de cette phase sont multiples : gagner en compétence sur les bases théoriques et pratiques de cette nouvelle technologie, tester sur des cas d’usages personnalisés, convaincre en interne, gagner en maturité sur la spécification de ses besoins PQC vis-à-vis de ses fournisseurs…

Une phase de découverte

Bien que la cryptographie soit au cœur des systèmes d’information, ce n’est généralement pas le sujet le mieux formalisé dans les documents d’architecture et les cartographies. Cette phase consiste donc à découvrir l’ensemble des biens mettant en œuvre de la cryptographie en provenance de sources hétérogènes (réseau, bases de données, terminaux…) de les répertorier puis de définir leur priorité dans la migration. Sans impact sur l’architecture du SI (contrairement aux deux phases suivantes), cette initiative peut être lancée immédiatement – c’est une porte d’entrée nécessaire à toute migration, et le plus tôt est le mieux. Son intérêt se déploie sur trois périodes :

• D’abord, pour connaître dès aujourd’hui l’état de sa cryptographie traditionnelle et les points d’alerte : taille de clés inférieures aux recommandations, utilisation algorithmes dépréciés – MD5, SHA1…, anciennes versions de protocoles
• Ensuite, pour piloter sa migration post-quantique en amont, pendant et en aval pour un remplacement méthodique de sa cryptographie traditionnelle par de la PQC.
• Enfin, sur le long-terme, pour auditer son SI et s’assurer de la bonne exécution de ses politiques cryptographiques et de sa conformité aux réglementations en vigueur.

Une phase de remédiation 

C’est la phase d’implémentation des algorithmes post-quantiques, en sélectionnant ceux qui sont standardisés, évalués et considérés comme sûrs. Tout comme la cryptographie standard, des choix d’implémentation devront être faits pour prendre en compte, par exemple, des problématiques de systèmes à mémoire contrainte et/ou des attaques par canaux auxiliaires. C’est aussi durant cette phase que sont mises en œuvre les stratégies d’hybridation et de crypto-agilité. Il est à noter que des évolutions matérielles seront probablement nécessaires :

• Dans le cas de solutions ayant implémenté en dur les algorithmes cryptographiques (applications « hard-codées », ASICs embarqués dans certains HSM…)
• Dans le cas de matériels à mémoire contrainte, type carte à puce, incapables de stocker des clés secrètes de taille suffisante pour le post-quantique

Une phase de management de la crypto-agilité 

Dans la période de disruption cryptographique qui s’ouvre, il est fort à parier que certains algorithmes post-quantiques seront « cassés » (par la cryptanalyse classique ou quantique), tandis que de nouveaux algorithmes apparaîtront pour les remplacer. De façon analogue, la multiplication des cas d’usage (signatures courtes, problèmes mathématiques différents, etc.) pousse les organismes de standardisation (NIST, IETF, ISO) à continuer à chercher et sélectionner de nouveaux candidats. Pour assurer le maintien au plus haut niveau de sécurité cryptographique sans retomber à chaque fois dans un schéma de migration coûteux et chronophage, la crypto-agilité permet d’ajouter, de modifier et de retirer des algorithmes en minimisant la disruption sur l’écosystème. Par ailleurs, elle permet au RSSI de reprendre le contrôle de manière centralisée sur sa cryptographie, là où le choix des algorithmes dépendait auparavant de l’équipe de développement ou du fournisseur de solutions de sécurité.

 

En conclusion, la crypto-agilité est aujourd’hui la « best practice » de management de la cryptographie conseillée par toutes les agences de sécurité.  

 

[1] Le qubit (ou bit quantique) est l’unité d’information de base utilisée pour encoder les données en informatique quantique. Contrairement au bit traditionnel qui ne peut prendre que 2 valeurs (0 ou 1), le qubit peut exister dans une superposition de ces 2 états en même temps.

[2] Pour être tout à fait complet, on peut signaler qu’un autre algorithme permet d’impacter la cryptographie symétrique mais cela peut être contré par un ajustement de taille de clés et de sorties de primitives.

[3] Pour de bonnes raisons (sécurité, certification, rétrocompatibilité, …) la plupart du temps