Lors de la conférence d’ouverture des Assises de la cybersécurité 2023, Thales était présent pour parler intelligence artificielle (notamment les grands modèles de langage) et quantique. Sur ce dernier point, le thème était : « l’apocalypse quantique, ou pas ? ». En clair, verra-t-on (et quand) des attaques réelles ? Pas d’annonce fracassante sur le sujet, mais des rappels utiles et une mise au point.
Avant de se lancer dans l’analyse de la situation, Éric Brier (vice-président et CTO Cyber Defence Solutions chez Thales) rappelle quelques points importants sur les implications – pour le moment théoriques – des calculateurs quantiques.
Les promesses
Le chiffrement symétrique (type AES) « se retrouve amputé de la moitié de la force des clés ». De l’AES sur 256 bits se retrouve ainsi au niveau de sécurité de l’AES sur 128 bits seulement. Corollaire, il suffit de doubler la taille des clés pour récupérer le même niveau de protection même avec des machines quantiques. Sur du chiffrement asymétrique (type RSA), « le résultat est encore bien pire et on considère que la sécurité est annulée ».
- Chiffrement et sécurité dans tous leurs états, du WEP à la distribution quantique de clés
- Cryptographie post-quantique : les enjeux autour des quatre algorithmes sélectionnés par le NIST
- Les détails du Plan Quantique : 1,8 milliard d’euros, un « ordinateur hybride » à l’horizon 2023
Enfin, troisième grande famille, souvent laissée de côté : les fonctions de hachage. Elles servent pour rappel à vérifier l'intégrité des données. « Une attaque quantique reviendrait à oublier de vérifier un tiers des bits des hachés », loin d’être négligeable. Maintenant que les bases sont posées, passons à l’ordinateur quantique en lui-même… que l’on ne devrait pas vraiment appeler ordinateur, mais plutôt calculateur car il n’est pas question de remplacer son PC par un PC quantique.
Quantique ou pas, les lois physiques s’appliquent
Dans tous les cas, « l'ordinateur quantique n'est pas tout-puissant », rappelle à très juste titre le CTO de Thales : « Il y a une certaine gamme de problèmes mathématiques qu’il résout parfaitement bien, et d'autres sur lesquels il n’est pas spécialement efficace ».
Éric Brier explique que, bien trop souvent, « on oublie que c'est finalement un objet qui répond à des lois physiques et les lois physiques, ça se calcule. On peut très bien le simuler sur un ordinateur classique […] ». Il estime qu’on peut actuellement manipuler « une vingtaine de qubits, peut-être un peu plus sans trop de soucis ». Pas de quoi bouleverser la donne, mais de se préparer au mieux et d’anticiper.
La grande question (et 42 n’est pas la réponse) est de savoir quand un calculateur quantique suffisamment puissant pour rebattre les cartes arrivera.
Les annonces des constructeurs n’aident pas
Pour répondre à cette question, le plus simple et logique serait de regarder ce qu’il se passe du côté des constructeurs. Ils sont entrés depuis un moment déjà dans une course à l’échalote quantique et à celui qui aura le plus de qubits.
En fond, la question de la suprématie, mais qui n’est finalement pas si fondamentale que cela. L’ordinateur quantique est déjà supérieur aux ordinateurs classiques, par exemple avec D-Wave qui utilise du « recuit simulé quantique » et qui donne de bons résultats sur l’optimisation de fonction.
- Suprématie quantique : « on est à un point de bifurcation »
- « Suprématie quantique » chez Google ? IBM réfute, Intel regarde ailleurs
Le principal problème, c'est que les annonces des fabricants de calculateurs quantiques ne « nous aident pas tellement », indique Éric Brier. Il donne plusieurs raisons qui tournent autour des qubits efficaces, des taux d’erreurs, de la profondeur, du temps de calcul…
Un exemple est mis en avant avec la machine IBM disposant de 433 qubits. Avec 433 qubits, on pourrait de prime abord se dire que « ça commence à faire beaucoup pour de l'AES sur 128 bits : on a quatre fois plus, on est tout bon ? » Eh bien non, car l’annonce ne parle pas des qubits logiques, c’est-à-dire ceux que l’on peut utiliser dans la « vraie vie ».
Les qubits annoncés par les constructeurs sont « entachés d'erreur ». Et la différence est importante : « Parfois, on est obligé d'utiliser 100 qubits physiques pour arriver à un seul qubit logique. Là, ça nous ramènerait à 4, on est loin du compte ». Multiplier les qubits physiques pour un même qubit logique permet de réduire les risques d’erreur, mais limite les possibilités de calculs.
Dans cet exemple, si une petite proportion de la centaine de qubits physiques produisent des erreurs, la centaine de qubits donne un résultat statistiquement fiable. Bien évidemment, suivant les technologies et les machines, le nombre de 100 peut varier, à la hausse ou à la baisse.
Le raisonnement est le même pour la machine à 10 000 qubits dans un horizon de 10 ans : on pourrait passer de 100 000 qubits réels à 1 000 logiques. Forcément, on voit mal un fabricant présenter une machine de 4 qubits quand il peut en mettre plus de 400 en avant dans sa communication.
Profondeur et temps de calcul souvent passés sous silence
Éric Brier revient de nouveau sur un point souvent passé sous silence : « Un autre aspect dont on ne parle pas assez, c'est la profondeur et le temps de calcul. Puisque les erreurs se propagent, il faut prendre soin d'avoir une forme de stabilité très importante. Pour rappel, coder un simple algorithme AES avec un ordinateur quantique, c’est traverser des dizaines de milliers de portes logiques quantiques »… avec autant de risques de voir le système quantique s’effondrer avant d’arriver au bout de son calcul.
Les fabricants ne précisent pas combien de portes peuvent être passés par leur calculateur quantique. Même une machine avec 100 000 qubits logiques (et donc utilisables) ne servira pas à grand-chose si on ne peut passer que quelques (dizaines/centaines de) portes. La profondeur et le temps disponible (même sans passer des portes, un système quantique a une durée de vie limitée) pour réaliser les opérations sont deux informations aussi au moins importantes que le nombre de qubits.
Le mot du jour est « humilité »
Quant à se lancer dans une prospective sur l’avenir proche du quantique, c’est mission impossible : « Je pense que le mot humilité est le bon, et c'est un domaine […] où il faut juste savoir se dire : on ne sait pas. On ne sait pas quand ça va arriver et on ne sait pas s'il n'y aura pas une nouvelle méthode pour coder les qubits ». La photonique permet d’utiliser des qubits à température ambiante, quand les autres techniques nécessitent de descendre très bas dans les températures, parfois à se rapprocher du zéro absolu.
Ce sont les techniques actuelles, mais de nouveaux qubits pourraient voir le jour. Thales cite en exemple les lampes utilisées pendant un temps puis remplacées très avantageusement par les transistors. La révolution « qubique » pourrait arriver… ou pas : « on n’en sait rien ».
Eric Brier cite trois éléments à prendre en compte quand on parle de quantique. Comme nous l’avons déjà expliqué à de nombreuses reprises, il est possible d’enregistrer des échanges chiffrés dans le but de les décrypter plus tard, dès qu’une machine quantique sera disponible. Des services de renseignements le font déjà.
Deuxième point, « la durée de vie des certificats dans les infrastructures. On a parfois des cas où ça dure 20 ans, et 20 ans ça paraît loin. Ça peut donner quand même beaucoup de chances aux développeurs de calculateurs quantiques de faire des percées ». Les différentes personnes avec qui nous en parlons s’attendent généralement à voir arriver des avancées importantes dans les 5 à 10 prochaines années, sans certitude évidemment.
La cryptographie hybride
Dernier point. Le temps et la possibilité de mettre à jour des systèmes. « Je pense particulièrement aux systèmes embarqués qui sont déployés » : « On a parfois des dizaines, voire des centaines, de millions d'appareils qui sont déployés sur le terrain, et très difficiles à joindre. On peut parfois mettre à jour leur logiciel [et/ou] les clés à distance », mais pas toujours.
Il faut donc prendre en compte dès maintenant le risque quantique, enfin plus précisément, il aurait fallu s’en occuper depuis des années. La cryptographie hybride est une solution mise en avant par l’intervenant de Thales : « c’est un peu comme avoir deux moteurs. Un moteur thermique et un moteur électrique ». Le but est de combiner la cryptographie classique – « avec laquelle on vit parfaitement bien » – et la cryptographique quantique plus récente et donc moins ancrée dans les mœurs et sur laquelle on peut encore se poser des questions de sécurité. Elle a par contre l’avantage de protéger du grand méchant quantique.
« Toute une cyber à réinventer »
Une solution « c'est d’utiliser les deux » avec un message qui « est chiffré en utilisant chacune des deux méthodes », classique et quantique. Pour la signature d’un fichier ou d’un certificat, « on va poser deux signatures, à nouveau avec chacune des méthodes ». Une manière de mélanger le meilleur des deux mondes : jouer la sécurité avec des protocoles classiques éprouvés depuis des dizaines d’années et se préparer à l’avenir.
Dernier point, à prendre en considération : la sécurisation des communications quantiques, « c'est-à-dire l'échange d'information qui utilisent le principe de superposition des états quantiques ». En effet, « il nous faudra oublier, peut-être réinventer, des notions telles que les sondes réseau et les agents embarqués, puisque ce sont des agents qu'on ne pourra plus utiliser, car ils détruisent cette superposition quantique. Il y aura donc toute une cyber à réinventer ».
Comme l’explique le CEA, l’état de superposition est très fragile : « Toute interaction, aussi minime soit-elle, avec l’extérieur (que ce soit par le biais d’interactions environnementales ou de mesures effectuées sur le système) a pour effet de détruire la superposition quantique : c’est la décohérence ». Or, les sondes réseau et les agents embarqués effectuent justement des mesures.
Commentaires (27)
#1
Je ne suis pas sur de comprendre :
Les deux sont possibles, mais ne répondent pas au même besoin :
Du coup, j’ai l’impression que c’est le point 1) qui est retenu à la lecture de l’article, mais ce n’est pas forcément très clair…
#1.1
C’est marrant qu’il cite IBM, je l’aurais plus vu parler des promesses de Meta avec son ordi. quantique
C’est ce que comprends moi aussi c’est bien le point 1 que tu dis.
#1.2
De ce que je comprends c’est la seconde solution.
La première n’a vraiment aucun intérêt.
Bah si, il permet de continuer à avoir des messages sécurisé contre un ordinateur quantique mais avec la sécurité éprouvé de la cryptographie « classique » (qui ne va pas disparaître au moment où l’ordinateur quantique va naître…) contre un ordinateur « classique ».
#1.4
Oh que si, la première a un intérêt : préparer une transition. Il faut garder à l’esprit que l’utilisation d’un algorithme de cryptographie nécessite que cette algo soit connue de l’expéditeur et du destinataire.
Le jour où l’expéditeur change de techno, le destinataire doit lors faire de même. C’est une coordination très compliquée à avoir (si c’était si simple, cela ferait belle lurette que l’IPv4 aurait été abandonnée au profit de l’IPv6).
Cela permet aussi, dans l’IoT (au sens large, j’y inclus les smartphones) de continuer de fonctionner lorsque les serveurs auront migrés.
Ce n’est pas ce que j’ai compris. Ce n’est pas pour pallier le cassage d’un des algo, mais pour préparer une transition entre ceux qui supporteront la cryptographie quantique et les autres.
Comme quoi la question mérite d’être posée, tant les avis divergent :)
#1.5
Contrairement à l’IPv4/IPv6, où les deux peuvent co-exister, quand l’ordinateur quantique va arriver, la transition se fera complètement et instantanément : tout ce qui n’utilise pas la cryptographie quantique sera « en clair ». Envoyer des messages avec des cryptographies en // ne sert à rien. Au contraire, ça reviendra à envoyer en clair…
#1.3
Comme toujours, XKCD a la traduction pour ce passage https://xkcd.com/678/
Je comprend la deuxième : on cumule les deux chiffrements, comme ça, même si y’en a un qui est cassé (que ce soit parce que l’ordi quantique s’est amélioré, ou que l’algo quantique utilisé ne soit finalement pas si fort), le message reste quand même sécurisé.
Par contre, ce qui est décrit comme utilisant les deux algos en parallèle (et donc proche de l’option 1), c’est la signature, qui ne change pas le message, mais qui le certifie. Si une des technos est cassée (→on peut créer de faux certificats pour certifier des messages), on aura toujours l’autre algo pour double-vérifier.
#2
Soit on a une compréhension vraiment à l’opposé de l’article, soit tu ne l’as pas lu.
#2.1
Je l’ai lu
Cette section est pourtant assez claire :
Il faut commencer à mettre de la cryptographie quantique dans les ordis/objets pour qu’ils soient prêts quand l’ordinateur quantique sera là.
On utilise la cryptographie classique bien éprouvée pour bien protéger tant que l’ordinateur quantique n’est pas encore là. Et, par dessus, la cryptographie quantique encore balbutiante pour protéger de l’ordinateur quantique, quand il sera là.
#3
Pour les questions de double cryptographie et comment ça fonctionne dans la vraie vie, pour se protéger du cas cité dans la news, voir cette actualité récente autour de la messagerie Signal :
https://signal.org/blog/pqxdh/
#4
Il faut commencer à mettre de la cryptographie quantique oui. Mais cela ne signifie pas l’imposer :
La section, pourtant assez claire pour reprendre tes dires, ne dit rien à ce sujet, et c’est mon interrogation initiale ;)
Ce qui est bien, c’est que l’analogie faite avec la voiture hybride va plutôt dans mon sens : proposer les deux techno, mais on ne les utilise jamais en même moment ;) C’est l’une ou l’autre, en fonction des possibilités de communication.
Qu’on soit bien d’accord, quand on contrôle les deux côtés, client et serveur, c’est “facile” de passer de l’un à l’autre (et encore, il faudrait une période de transition où le support de la cryptographie quantique sera disponible mais pas imposé pour éviter toute rupture de service).
Par contre, de manière plus globale sur Internet, ce sera beaucoup plus compliquée. Il faudra potentiellement faire des adaptations au niveau des infrastructures, mettre à jour les clients et les serveurs. Tout ne pourra pas se faire en même temps (sinon, comme déjà dit, cela ferait bien longtemps que nous utiliserions tous IPv6 et que IPv4 aurait disparu)
#4.1
Tes analogies ne sont pas bonnes, car elles présentent des solutions qui permettent de FAIRE quelque chose de deux manières différentes, et donc oui, c’est mieux de pouvoir faire l’un ou l’autre.
Pour la cryptographie l’objectif c’est d’EMPÊCHER (que quelqu’un d’autre n’accède à l’information) et là, aucun intérêt de faire les deux en //, ça ne fait que fortement diminuer la performance globale : la cryptographie classique se fera poutrée par un ordinateur quantique, et on manque de recule sur la cryptographie quantique (qui peux donc parfois se faire casser par un ordinateur classique !). Faire les deux en parallèle rendrait le chiffrement très peu efficace, on aurait les points faibles de deux méthodes…
Pour le problème de la transition avec des parties non prêtes, tu peux très bien continuer à communiquer avec les parties qui ne sont pas encore prêtes pour la cryptographie quantique avec de la cryptographie classique, et communiquer avec les parties qui sont prêtes en cryptographie hybride.
Le lien donné par PSXBH montre bien que c’est comme ça que ça fonctionne : « any attacker must break both X25519 and CRYSTALS-Kyber to compute the same shared secret ».
Et une autre partie de l’article qui montre bien que c’est ça qui est prévu :
Il y a bien la différence entre « chiffré en utilisant chacune des deux méthodes » pour les informations à chiffrer et « deux signatures […] avec chacune des méthodes » pour les signatures.
Je me suis fait la même remarque
Je crois que c’est pour illustrer ce propos :
#5
J’aime bien la diapo où ils citent Le Monde et Ouest France… du coup ils ont appris ce que c’était que l’ordinateur quantique dans les mêmes pages que madame Michu?
#6
Tu n’as justement pas compris un passage de l’article je pense.
Si je suis bien d’accord que faire les deux en parallèle, cela va affaiblir (forcément, on a 2 messages chiffrés au lieu d’un), il me parait totalement illusoire de faire les deux en série actuellement, car il faudrait maitriser la MAJ de tous les clients en même temps. Sur un réseau à l’échelle d’internet, c’est tout simplement impossible.
Quand on regarde l’actualité plus ou moins récente, et qu’on voit que certains services IoT, des télé connecté ou même smartphone se retrouve déconnectés parce que trop vieux et pas mis à jour et que les versions des algo ne sont plus bons (pour les exemples récents, manque de support TLS 1.2 ou fin d’une des chaines de certification de Let’s encrypt qui a provoqué de nombreux problème).
Dans la logique, si on veut éviter ça, il faudrait effectivement que les différents dispositifs supporte la cryptographie quantique (mais le supporte, sans l’imposer) pour pouvoir continuer d’être utiliser actuellement ET à l’avenir.
L’intérêt de faire en parallèle, c’est donc de préparer à l’avenir. Par exemple, aujourd’hui, quand tu ouvres une communications avec TLS, client et serveur se mettent d’accord sur la version et sur un algo à utiliser.
Ce que je ne comprends pas dans l’article, c’est qu’il parle de faire un double chiffrement. Le double chiffrement en série est ce qu’il faudrait faire, mais impossible à mettre en oeuvre en pratique (car imposerait de mettre à jour tout le monde en même temps à l’échelle planétaire).
Le double chiffrement en parallèle me parait “stupide” car pourquoi avoir 2 messages chiffrés au lieu d’un ?
La seule solution que je vois, c’est de supporter les algo quantique, pour pouvoir les proposer, et que le choix de l’algo se fasse ensuite comme se qui se fait aujourd’hui avec TLS. Sauf que ce n’est pas vraiment dans ce sens qu’à été écrit l’article.
Du coup, ce point me parait flou.
Non. Signal est un cas particulier : signal control protocole, client et serveur. A son échelle, c’est donc possible.
A l’échelle d’internet, comment fais-tu, quand il faut mettre à jour client, serveur, voire même infrastructure (pour les solutions genre IPSec) ?
#7
Lequel ?
Par exemple, TLS 1.4 (en hybride) et fallback sur TLS 1.3 comme ce qui a toujours été fait…
#7.1
Finalement, je viens de comprendre notre désaccord :)
En fait, il faut comprendre l’article comme la mise en place d’un nouveau type d’algorithme, constitué d’un algo classique puis d’un algo quantique. Après, à charge au client/serveur d’utiliser ou pas ce nouveau type d’algorithme en fonction des possibilités de chacune des parties.
Et donc ce passage
N’est pas à comprendre comme on mixte directement les deux, mais on propose un algorithme qui est un mixte des deux. A charge à qui le veut/peut de les utiliser ensuite.
#8
Le passage cité juste en dessus de mon commentaire ;)
Donc ce n’est pas du série. C’est ce que je te dis depuis le début : l’algo est proposé, pas imposé. Alors que si tu le fais en série, il est imposé.
#9
C’est mon message, pas l’articleEdit : Ah, « en dessous » !
Si, j’ai très bien compris, il dit qu’il faut mettre dès à présent de la crypto hybride dans les appareils. Sinon, quand l’ordinateur quantique sera là tous ces appareils seront dépassés et à jeter à la poubelle. C’est pas un problème de transition, mais d’anticipation.
Non, il est proposé en hybride/série (crypto + classique), si l’autre ne le supporte pas alors on se rabat sur de la crypto classique seule. Jamais les deux en parallèle.
#10
Oups, sorry. C’est ça d’écrire pendant un webinar
Oui, cf. mon commentaire sur la compréhension de notre désaccord ;)
Proposer la méthode hybride avec un fallback ne me pose pas de souci. Mais tel que c’est présenté dans l’article, je trouve que ce n’est pas clair car la méthode hybride apparait comme une obligation, pas comme une alternative.
#11
C’est une obligation si on veut être protégé contre un ordinateur quantique.
#12
Qui n’existe pas encore. Et une “obligation” aujourd’hui reviendrait à une rupture des communications avec la quasi-totalité des clients (qui ne sont pas, pour la plupart, compatible).
#13
Peut-être demain ou après-demain…
Non, pas si tu utilises du fallback pour ceux non compatibles.
Par contre, quand l’ordinateur quantique sera là, il faudra en effet cesser toute communication avec eux… (mais ça c’est valable quelque soit le choix ou non-choix fait)
#14
Vu l’article, avec la différence entre qubit physique et qubit logique, c’est plus pour après-après-après demain ;)
S’il existe un fallback, ce n’est plus une obligation !!
#15
De ce que je comprends, je serais plus de l’avis de Mihashi :
#16
Ou alors, on fait de la crypto post-quantique, qui fonctionne très bien sur des terminaux non quantiques.
#16.1
Oui mais comme indiqué dans l’article et repris par Mihashi, on n’a pas encore assez de recul sur les algos post quantiques.
L’idée est donc de garder la crypto classique pour le moment puisqu’on sait précisément ce qu’elle vaut face aux ordinateur classiques et quantiques actuels.
En revanche, il serait effectivement possible de basculer en post-quantique avant que les ordis quantiques soient au niveau si on a le recul nécessaire.
#17
À part un lien vers un autre article NI, il n’est pas question de post quantique ici. Est-ce un abus de langage en parlant de crypto quantique ? Parce qu’il ne me semble pas qu’on puisse imaginer dans un futur proche de remplacer les PC par des ordinateurs quantiques.
Et en cas de dump rejoué ultérieurement (même si rien ne dit qu’un ordinateur quantique capable existera un jour), il serait plutôt souhaitable d’utiliser de la crypto post-quantique.
#18
Oui, oui, c’est un abus de langage pour dire cryptographie post-quantique.
Et comme dit dans l’annonce, on ne va pas à priori remplacer les PC par des ordinateurs quantiques (mais il y aura peut-être des serveurs, des chipsets, etc. quantiques).