La sécurité informatique à l'ère des ordinateurs quantiques

Les ordinateurs quantiques ne relèvent plus depuis longtemps de la science-fiction. Alors que l'Europe, les États-Unis et la Chine se livrent une course au coude à coude pour développer le premier superordinateur du XXIe siècle, les services secrets travailleraient déjà sur des prototypes permettant de casser des algorithmes aujourd'hui sécurisés.

Même si les ordinateurs quantiques ne remplaceront pas les ordinateurs traditionnels, leur utilisation s'impose pour les tâches scientifiques et autres tâches complexes. Les ordinateurs quantiques contribuent par exemple à une nette amélioration des performances et de l'efficacité pour les prévisions météorologiques ou le calcul des flux de trafic. Mais ces nouvelles possibilités font également naître de nouveaux dangers pour la sécurité informatique.

Dans quelques années, il existera des ordinateurs quantiques suffisamment puissants pour casser des procédés de cryptage utilisés des milliards de fois par jour. En premier lieu, l'algorithme RSA, qui est utilisé de préférence dans le domaine privé pour les virements bancaires, les paiements par carte, les ventes en ligne et le cryptage des courriels.

Dans l'environnement des entreprises, les applications cloud largement répandues, comme Office 365, Salesforce et les propres systèmes basés sur le cloud sont concernés. Ainsi, à l'aide d'ordinateurs quantiques, il pourrait être facile à l'avenir pour des pirates d'accéder à des données critiques pour l'entreprise ou de manipuler des mises à jour de logiciels via le réseau - jusqu'à la prise de contrôle de l'ensemble du système informatique.

"Dès aujourd'hui, nous devons chercher des alternatives"

lance Michele Mosca, mathématicien à l'université de Waterloo au Canada, aux responsables de la sécurité informatique.

Étant donné qu'un ordinateur quantique peut aujourd'hui rendre des données cryptées lisibles rétroactivement, les entreprises et les organisations devraient commencer très tôt à protéger leurs données avec de nouvelles méthodes de cryptage.

La cryptographie post-quantique (PQC) offre une possibilité à cet égard. Dans le monde entier, des instituts scientifiques, des universités et des entreprises travaillent déjà fébrilement au développement de solutions appropriées. En Allemagne, l'université technique de Darmstadt joue un rôle de pionnier dans ce domaine.

Les méthodes de cryptage dites basées sur la grille, multivariées, basées sur le code et basées sur le hachage, qui ont vu le jour il y a quelques années déjà et que même les ordinateurs quantiques ne peuvent pas déjouer, sont considérées comme des candidats prometteurs.

Parmi les méthodes basées sur la grille, on peut citer Ring-Tesla, Lara-CPA et Lara-CCA2, qui offrent une sécurité nettement plus élevée que l'algorithme RSA.

Comme ces procédés permettent également des temps d'exécution plus courts lors du cryptage et du décryptage ou lors de la signature et du décryptage des signatures, ils contribuent en outre à une augmentation des performances de l'application.

Alors que les nouveaux procédés PQC sont déjà de plus en plus utilisés dans les applications open source, la situation est encore différente dans l'environnement commercial. Mais que peuvent faire les entreprises pour protéger leurs données contre les abus, même à l'ère de l'informatique quantique qui s'annonce, tout en se conformant aux lois de plus en plus strictes sur la protection des données - mot-clé : RGPD de l'UE ?

Les passerelles de cryptage avec gestion des clés par le client, dans lesquelles les algorithmes PQC d'avenir peuvent être intégrés à volonté, constituent une approche de solution.

Les entreprises utilisatrices profitent du fait qu'elles peuvent choisir exactement le procédé PQC qui convient le mieux à leurs exigences. En effet, contrairement à l'algorithme RSA, dont le fonctionnement est relativement simple, les nouveaux procédés PQC comportent un certain nombre de paramètres à prendre en compte au cas par cas.

Un autre avantage réside dans le fait que la gestion des clés et des accès reste entièrement entre les mains de l'entreprise utilisatrice lors de l'utilisation de passerelles de cryptage.

Toutes les données qui quittent l'entreprise pour être traitées ou stockées dans le cloud sont cryptées et illisibles, même en cas d'accès non autorisé, que ce soit par les fournisseurs des applications à protéger ou par les prestataires de services cloud eux-mêmes.