Les nouvelles post-quantiques de l’été : ce qu’il faut retenir
Cet été marque une avancée majeure dans le domaine de la cybersécurité avec la publication des standards NIST de cryptographie post-quantique. Cette publication marque l’aboutissement de nombreuses années de travail, le processus de standardisation ayant été commencé en 2016, la recherche mathématique, elle, a duré des décennies.
Cette nouvelle était attendue avec impatience par la communauté cyber tant la menace est réelle : un ordinateur quantique suffisamment performant rendrait toute la cryptographie asymétrique actuelle obsolète. Cela implique l’impossibilité d’échanger des clés de chiffrement de même que la possibilité de signer numériquement des documents. En bref, cela signifierait la fin des garanties de confidentialité et d’intégrité pour les communications.
Il est difficile de décrire l’étendue des conséquences tant elles sont nombreuses que représenterait l’impossibilité de communications sécurisées sur internet.
Pour parer à cela, 3 nouveaux standards cryptographiques ont été identifiés :
- ML-KEM (nommé CRYSTAL-KYBER pendant le processus), le nouveau standard principal pour le chiffrement et donc l’échange de clés
- ML-DSA (CRYSTAL-Dilithium), le nouveau standard principal de signature numérique
- SLH-DSA (Sphincs+), la solution de secours pour la signature si ML-DSA se révélait vulnérable.
A noter qu’une solution de « secours » pour le chiffrement, FN-DSA (FALCON), sera publiée dans un futur proche.
Les standards sont publiés, mais les efforts post-quantiques ne sont pas finis, bien au contraire !
Les intégrations commencent : les éditeurs et développeurs en action
La publication des standards permet de passer à l’étape suivante du processus de sécurité post quantique : l’intégration des algorithmes par les grands éditeurs et développeurs de solutions technologiques.
Ces travaux ont évidemment commencé préalablement mais on peut citer l’intégration des algorithmes post-quantiques à la roadmap de développement de Tink[1], la librairie de cryptographie bien connue de Google. On peut également saluer le partenariat entre IBM et Thales [2]pour une sécurité post-quantique complète, du VPN à TLS en passant par la signature numérique de documents. Microsoft[3] a également indiqué que des efforts étaient en cours pour une transition post-quantique de leurs services, de leur offre cloud au on-premise. Même Apple[4] dans la sphère grand public a lancé la migration de iMessage vers des algorithmes post-quantiques.
Mais attention, la sécurité post-quantique n’est pas soudainement une réalité. Ceci est et sera un long processus, qui repose notamment sur les efforts de tous les fournisseurs de services IT. Il est encourageant de constater que ce sujet est pris au sérieux par les leaders du marché.
Aux grandes organisations d’agir !
La sécurité post-quantique ne concerne pas seulement les GAFAM, toutes les grandes organisations doivent entamer leur transition vers ce nouveau paradigme. Nous recommandons de réfléchir et d’adopter dès maintenant une stratégie en la matière, à noter que les agences américaines ont l’obligation de la faire depuis le Quantum Computing Cybersecurity Preparedness Act (2022).
Les étapes majeures de cette stratégie de migration sont nombreuses et elle doit couvrir évidemment les systèmes informatiques classiques. Mais il ne faut pas oublier les systèmes industriels, les systèmes embarqués (véhicules, trains, objets connectés, systèmes déportés…). Pour chacun de ces périmètres les éléments suivants doivent être consolidés :
- Un inventaire des données et de leur durée de vie sécuritaire (« security shelf-life »), en particulier pour les données à longue durée de vie afin de prioriser les efforts.
- Un inventaire des solutions cryptographiques utilisées en interne, afin d’identifier leurs origines et les responsabilités (internes, open-source, fournisseurs…).
- Chaque utilisation de cryptographie asymétrique doit faire l’objet d’un plan de transition qui inclura un POC. A noter que la cryptographie symétrique AES ne nécessite pas de transition, à l’exception du passage à AES256 pour les données ultra-critiques (sensibles sur plusieurs décennies). Pour les anciens systèmes, au-delà de la migration des systèmes de chiffrement, il sera peut-être nécessaire de rechiffrer une partie des données stockées.
- L’ensemble de la chaîne cryptographique devra évidemment évoluer, de la PKI aux certificats en passant par les différents systèmes de chiffrement et de signature. Il faudra également être attentif aux problématiques de performance, en particulier sur les environnements embarqués.
- Les nouveaux projets doivent prendre en compte la sécurité post-quantique dès la conception :
- Avec l’inclusion de critères de sécurité post-quantique dans l’évaluation des fournisseurs de services
- Tous les projets internes doivent prévoir l’utilisation de cryptographie asymétriques post-quantique, des exigences équivalentes à AES256 pour la cryptographie symétrique, et des garanties équivalentes à SHA512 pour le hachage.
Face à l’ampleur de la tâche, un écosystème complet de fournisseur se développe pour accompagner la réalisation d’inventaires, l’évaluation du risque (via le scan de librairies ou de code source) et le suivi des plans d’action. C’est le cas chez Thalès, IBM ou encore Sandbox AQ.
Mais au-delà de l’outillage, il sera nécessaire d’entamer un vrai programme de transformation, mobilisant largement les équipes de la DSI, les métiers concernés mais aussi les achats si l’enjeu fournisseur est important.
Cette migration est aussi l’occasion de réfléchir plus en profondeur à la gestion de la « crypto agilité » car il faut être réaliste, ces algorithmes sont assez « neufs » et il n’est pas impossible que des failles soient découvertes et nécessitent des évolutions. Le programme de transformation devra aboutir non pas à une migration « one off » mais bien à la maitrise d’une cryptographie agile dans l’organisation.
L’histoire montre qu’il faut trois à quatre ans pour entamer et compléter ce type de migration. Et ce sujet ne sera pas facile à faire avancer, tant il est invisible vis-à-vis des métiers. Espérons que des réglementations, en particulier en Europe, mettent le sujet en lumière !
Risques et timeline : à partir de quand agir ?
Les estimations varient quant à la date à laquelle un ordinateur quantique sera en mesure de « casser » un chiffrement RSA à l’état de l’art. La plupart la situe entre 2030 et 2040, avec une concentration d’estimations aux alentours de 2033-2035. La NSA exige une cryptographie exclusivement post-quantique de ses fournisseurs de logiciels, firmware et équipements réseau dès 2030, dès 2033 pour certains autres (e.g. O.S.) et 2035 pour l’ensemble de ses fournisseurs[5]. A noter que la cryptographie post-quantique doit être proposée dès 2025 dans certains cas de figure.
Même si personne ne peut savoir quand exactement les ordinateurs quantiques seront suffisamment sophistiqués, ne pas être prêt à l’horizon 2033 implique d’accepter des risques aux lourds impacts pour les données les plus sensibles.
Cependant une autre menace existe dès aujourd’hui. En effet, nous sommes tous exposés dès maintenant au risque de « Harvest Now, Decrypt Later » qui consiste au stockage à grande échelle de communications internet pour leur déchiffrement futur avec un ordinateur quantique (ou lorsque des clés de chiffrement fuitent). Ce risque concerne évidemment des entités aux capacités très spécifiques, à savoir les agences étatiques ou groupes d’attaquants soutenus par ces dernières. Seules les organisations dont les données représentent un intérêt stratégique pour ces agences sont les plus à risques. Cette particularité a fait démarrer les migrations chez certains acteurs particuliers.
Mais pour tous, vu les efforts requis et la zone de risque à l’horizon 2030, c’est dans le plan d’action 2025 qu’il faut prévoir les premières phases de bilan et de construction du plan projet !
[1] https://developers.google.com/tink/roadmap?hl=fr
[2]https://cpl.thalesgroup.com/blog/data-security/thales-joins-ibm-consulting-to-accelerate-pqc-readiness
[3]https://arstechnica.com/security/2024/09/microsoft-adds-quantum-resistant-algorithms-to-its-core-crypto-library/
[4] https://security.apple.com/blog/imessage-pq3/
[5] https://media.defense.gov/2022/Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF