« Q-Day » : à quels risques les ordinateurs sont-ils confrontés et pourquoi existe-t-il une branche « post-quantique » de la cybersécurité ?

La cryptographie est bien plus présente dans nos vies que nous le pensons. Il s'agit d'un ensemble de techniques permettant de coder l'information de manière à ce qu'elle ne soit accessible qu'aux personnes autorisées : une transaction bancaire, un achat en ligne ou un message WhatsApp utilisent des protocoles différents pour assurer la sécurité des deux parties, qu'il s'agisse de l'acheteur-vendeur ou de l'expéditeur-destinataire.

L’utilisateur moyen ne s’en rend peut-être pas compte, mais une grande partie de notre vie en ligne dépend d’informations cryptées. Et, dans ce monde hyperconnecté, il existe un algorithme de cryptographie à clé publique sur lequel repose une grande partie des communications et des transactions : RSA .

La semaine dernière, une étude de Google a estimé que même s'il est encore très difficile de briser ce cryptage, le chemin est plus proche qu'auparavant. Et cela a à voir avec les progrès de ce que l’on appelle la cryptographie post-quantique , un ensemble d’algorithmes conçus pour être résilients à ce que les ordinateurs quantiques peuvent faire en termes de calculs.

À certains égards, la cybersécurité mondiale est confrontée à une menace qui n’existe pas encore, mais qui se développe à un niveau théorique : lorsque les ordinateurs quantiques seront suffisamment puissants, ils seront capables de casser certains des algorithmes de cryptage les plus utilisés sur Internet aujourd’hui, tels que RSA ou ECC ( Elliptic Curve Cryptography , utilisé par des applications comme WhatsApp).

C'est ce qu'on appelle le « Q-Day » (ou « Quantum Day ») , nom donné au moment hypothétique où un ordinateur quantique sera suffisamment puissant pour briser la sécurité de nombreux systèmes de cryptage que nous utilisons aujourd'hui.

Ces types de questions, entre autres, seront abordées le 5 juin lors du Cyber ​​​​Summit à La Rural, un événement de cybersécurité axé sur le monde des affaires et de l'industrie, qui se déroule pour la deuxième fois à Buenos Aires.

Ici, trois spécialistes qui interviendront lors du sommet expliquent ce qu'est la cybersécurité quantique et pourquoi elle fait le buzz.

Le premier point, avant de parler de cybersécurité quantique, est de rappeler à quoi fait référence le terme « quantique ».

« La physique quantique est une discipline scientifique qui s'attache à décrire le fonctionnement des plus petites choses : atomes, électrons, photons, particules fondamentales. Une discipline spécifique est nécessaire car, dans ce monde de l'infiniment petit, des phénomènes particuliers se produisent , liés au fait que les objets que nous cherchons à décrire sont aussi petits que les instruments que nous utilisons pour les mesurer », explique à Clarín Christian Schmiegelow, docteur en physique et chercheur à l'Université de Buenos Aires (UBA) et au Conicet (Conicet).

« Dans ce contexte, il est inévitable de considérer que l'acte de mesurer implique nécessairement une modification de ce qui est mesuré. Et de ce fait, un phénomène surprenant se produit : on ne peut pas dire avec certitude où se trouve quelque chose ni ce qu'il fait avant de le mesurer. Il est intéressant de noter que cela conduit à ce que, dans le monde quantique, les objets puissent faire plusieurs choses à la fois. Par exemple, un objet peut se déplacer simultanément dans deux directions différentes », ajoute le directeur du Laboratoire des ions et atomes froids.

Dans ce cadre, il est également important de rappeler que la cryptographie est un ensemble de techniques conçues pour protéger les informations afin qu’elles ne soient accessibles qu’aux personnes autorisées. Par exemple, chaque fois qu’un message est envoyé via WhatsApp, il ne peut être lu que par l’expéditeur et le destinataire, et non par des tiers.

En raison de l’importance du cryptage des communications, la physique quantique pose une série de problèmes qui sont actuellement largement étudiés dans le monde de la cybersécurité.

« La sécurité quantique découle directement des propriétés quantiques des particules élémentaires, notamment des photons polarisés. Il s'agit d'un ensemble de protocoles (règles d'utilisation) fondés sur les lois de la mécanique quantique qui permettent d'atteindre les principaux objectifs de la cryptographie : confidentialité , certification d'origine et contrôle de l'intégrité des informations. Tout cela est possible grâce à la configuration des protocoles cryptographiques pour être invulnérables et totalement résistants à l'espionnage des informations en transit », a ajouté Pedro Hecht, docteur en biophysique et coordinateur du master en sécurité informatique de l'Université de Buenos Aires, dans une interview accordée à ce média.

Spécialisé en optique quantique expérimentale, Schmiegelow a expliqué à ce média pourquoi la technologie quantique suscite autant d'intérêt dans le monde de la cybersécurité.

En cybersécurité, en particulier, deux problèmes majeurs se posent. Le premier est que le seul protocole que nous connaissons réellement, dont l'efficacité et la sécurité ont été prouvées au fil des ans – et sur lequel repose la quasi-totalité des infrastructures de télécommunications actuelles – est RSA. Or, avec un ordinateur quantique puissant, on pourrait casser les clés cryptographiques RSA. Cela a suscité un vif émoi, même si cette possibilité semble encore lointaine. Mais cela reste une préoccupation réelle et importante », a-t-il déclaré.

« À partir de cette découverte, vieille de près de 30 ans, a été développée la cryptographie post-quantique. Il s'agit d'algorithmes classiques qui, en principe, ne seraient pas vulnérables à ce type d'attaque quantique. Le problème est que ces algorithmes post-quantiques ont été peu testés et que personne ne connaît encore avec certitude leur niveau de sécurité. RSA, en revanche, est l'une des méthodes les plus anciennes : tout le monde essaie de le casser depuis des décennies, et cela ne semble pas facile… à moins de disposer d'un ordinateur quantique », a-t-il poursuivi.

Cependant, les applications pratiques sur le marché actuel sont limitées : « La contribution à l’industrie ou à la sécurité du commerce électronique est très limitée en raison de trois facteurs : l’infrastructure technologique qui nécessite une complexité avancée hors de portée des utilisateurs potentiels, le coût d’exploitation est élevé et elle n’est pas directement applicable aux réseaux de communication physiques comme Internet », ajoute Hecht, qui est également professeur consultant en cryptographie (FIE-UNDEF).

« Cela ne se justifie que dans des environnements d'entreprise spécifiques, par exemple pour les communications entre le siège d'une banque et ses succursales, à condition que le coût ne soit pas un facteur limitant, ce qui est presque inévitable. De toute évidence, la véritable solution réside ailleurs : l'utilisation de la cryptographie classique (c'est-à-dire non quantique) via un logiciel », ajoute-t-il.

« Or, cette idée selon laquelle « mesurer, c'est modifier » a également apporté une solution au problème posé par l'informatique quantique : elle permet le développement d'un nouveau type de cryptographie appelé « distribution de clés quantiques ». « Il s'agit d'une méthode permettant d'établir une clé entièrement sécurisée entre deux parties souhaitant communiquer. En principe, elle permet une communication inviolable, car le système « surveille » en permanence toute tentative d'interception du message. Et s'il détecte une intrusion, la transmission est automatiquement interrompue », poursuit Schmiegelow.

Ce type de développement contribue à expliquer l’enthousiasme que suscite tout ce qui touche au quantique dans le monde de la technologie, au-delà des modes ou du marketing impulsé par certaines entreprises.

Concernant l'état actuel de la recherche en sécurité quantique, il conclut : « Les ordinateurs quantiques sont encore loin d'être une réalité utile. Personne ne croit rationnellement qu'un ordinateur quantique capable de casser le RSA existera d' ici au moins 30 ans . En revanche, en matière de cryptographie quantique, il existe déjà des dispositifs commerciaux permettant des communications totalement sécurisées grâce à des clés quantiques. Je ne dirais pas qu'ils sont très bien établis, mais ils existent. Cependant, leur fonctionnement nécessite un matériel spécifique et généralement une liaison par fibre optique dédiée. »

Même si l’idée de « Journée quantique » est largement relayée par le marketing, cette préoccupation à long terme a des fondements légitimes. Que se passerait-il si nous avions accès à un ordinateur quantique capable de détruire en toute sécurité tout ce que nous utilisons aujourd’hui ? Comment envoyer un e-mail en toute tranquillité d'esprit, sachant qu'il ne sera pas intercepté ? Comment effectuer une opération bancaire sans duplication ?

« Avec le développement des ordinateurs quantiques (dont les architectures reposent sur la mécanique quantique) et des algorithmes quantiques de Shor et Grover , la cryptographie telle qu'elle est utilisée aujourd'hui pour sécuriser les communications Internet est soit détruite (cryptographie à clé publique), soit considérablement affaiblie (cryptographie symétrique). Cette situation est très grave et précipitera un « Q-Day » (le moment où les ordinateurs quantiques atteindront ce niveau dévastateur) , attendu d'ici la fin de la décennie. La solution trouvée par la communauté cryptologique réside dans le développement et la mise en œuvre de nouveaux algorithmes résistants aux attaques de Shor et Grover, collectivement appelés cryptographie post-quantique », explique Hecht.

« Cette nouvelle cryptographie devrait, à l'avenir (avant le Jour Q), remplacer ce qui est utilisé aujourd'hui pour chiffrer, échanger des clés, signer numériquement, authentifier les origines, certifier l'intégrité (aucun bit ne change pendant le transit ou le stockage) et autres protocoles similaires . Ce sera la défense logicielle contre le danger annoncé », ajoute-t-il.

Certaines entreprises utilisent cependant déjà certaines idées du monde de la physique quantique en relation avec certains processus. « Chez Sequre Quantum, nous développons des technologies quantiques pour renforcer la cybersécurité dans des secteurs critiques tels que la défense, la finance et les loteries . Notre produit phare est un générateur de nombres aléatoires quantiques qui s'auto-vérifie en temps réel, garantissant que les nombres produits sont véritablement imprévisibles, uniques et confidentiels », a déclaré à Clarín Paulina Assmann, docteure en astrophysique et PDG et fondatrice de Sequre Quantum.

Il s’agit d’une perspective qui tente de résoudre un problème dans les systèmes de sécurité qui a trait au caractère aléatoire du point de départ de la clé à générer (ce que l’on appelle la « graine »).

« C'est fondamental, car toute sécurité numérique repose sur la qualité du caractère aléatoire. Si les clés cryptographiques peuvent être prédites, même partiellement, les systèmes sont exposés. Notre technologie utilise la physique quantique pour générer une entropie de haute qualité et est déjà utilisée pour protéger les infrastructures critiques, tant dans la région qu'à l'international », conclut le spécialiste.

Dans ce scénario, même si ces discussions restent largement théoriques en 2025, des études comme celle de Google cette semaine prouvent que, bien que lointain, le monde post-quantique finira par arriver.

D’ici le jour J , des systèmes devraient être en place pour empêcher une psychose de masse dans le monde de la technologie comme celle qui a précédé l’an 2000 .