[EDITION ABONNES] Alors que l’organisme NIST s’apprête à publier officiellement plusieurs standards pour les algorithmes de chiffrement post-quantique, VDC estime que 2024 restera comme l’année où les équipementiers, les fournisseurs de services cloud, les développeurs Web et autres parties intéressées auront pris au sérieux la question de la cryptographie post-quantique et auront commencé à adapter leurs offres en conséquence. Une prévision émise par VDC parmi les thèmes et tendances émergents qui contribueront à façonner les marchés du matériel et des logiciels en 2024 (lire nos articles ici et ici).

L’analyste rappelle que l’algorithme de chiffrement RSA est au cœur de l’infrastructure à clé publique (PKI) actuelle, utilisée pour sécuriser tout type de communications, les données et les transactions financières sur Internet et ailleurs. L'algorithme asymétrique RSA utilise une paire de clés de chiffrement – de longueur de 2 048 bits chacune dans les implémentations courantes – dont l'une est rendue publique et l'autre est gardée secrète.

Sans entrer dans des détails mathématiques, l'algorithme RSA inclut grosso modo la multiplication de deux très grands nombres premiers, et sa sécurité repose sur l'extrême difficulté d'inverser ce processus, c'est-à-dire de factoriser le produit résultant pour retrouver les deux nombres premiers d'origine. Si un attaquant avait la possibilité de réaliser ce tour de force, il pourrait alors calculer la clé RSA privée pour une clé publique donnée. Avec cette clé privée, l'attaquant aurait alors la capacité de "décoder" les données chiffrées avec la clé publique correspondante, voire de chiffrer les données de telle sorte qu'un destinataire croie à tort à l'identité de l'entité qui les a chiffrées.

Le processus de factorisation des nombres RSA est toutefois irréalisable avec la technologie informatique binaire conventionnelle, rappelle VDC, tout du moins dans un avenir prévisible. Les mathématiciens et les informaticiens savent néanmoins qu'un ordinateur quantique suffisamment puissant pourrait potentiellement briser ce chiffrement en utilisant l’algorithme de Shor pour factoriser le produit de deux nombres premiers.

Le nombre de qubits gérables par les ordinateurs quantiques ont certes connu une croissance régulière, mais ce nombre est encore inférieur à celui envisagé pour pouvoir craquer le chiffrement RSA 2048 bits dans un délai raisonnable. Néanmoins, tous ceux qui se sont penchés sur la question savent qu'à terme, une telle attaque finira par se produire. D’où l’impulsion actuelle pour mettre en œuvre des algorithmes de chiffrement qui sont intrinsèquement résistants à l’informatique quantique, des travaux qui entrent dans le domaine dit de la cryptographie post-quantique (PQC).

VDC en veut pour preuve les efforts dans ce domaine mené depuis 2016 par le National Institute of Standards and Technology (NIST), une agence gouvernementale américaine qui fait référence dans le domaine de la gestion des risques de cybersécurité, pour standardiser un ou plusieurs algorithmes de chiffrement post-quantique. Le NIST a réduit la liste de propositions à vingt-six candidats en 2021, puis à quatre finalistes en 2022, auxquels viendront s’ajouter quatre autres candidats potentiels supplémentaires.

L’organisme prévoit de normaliser un ou plusieurs de ces algorithmes en 2024, et VDC s’attend à ce que cet événement lance une vague d'activités nécessaires pour les mettre en service.

Mais si l’informatique quantique ne parvient pas à déchiffrer le RSA 2048 bits avant plusieurs années, pourquoi s’inquiéter dès aujourd’hui ? questionne la société d’études. Rien d’étonnant à cela car la transition du réseau vaste et complexe de cryptographie et d’infrastructure à clé publique RSA vers des solutions post-quantiques prendra des années.

Mais, et c’est peut-être plus préoccupant, des entités néfastes – notamment certains Etats et des groupes criminels organisés – récupèrent et stockent déjà de grandes quantités de données chiffrées, en attendant patiemment le jour où l'informatique quantique pourra craquer l’algorithme RSA. Jour où ils pourraient alors déchiffrer toutes ces données sensibles stockées, y compris des informations financières, des dossiers médicaux, des secrets gouvernementaux, etc. A suivre donc.