Transformation in die Cloud - welche Cloud darf es sein?
Sécurité Industrielle

Un quantum d’espoir

16 avr. 2018

Les scientifiques annoncent la disponibilité d’ordinateurs quantiques dans un avenir proche. Le piège : ces nouveaux supers ordinateurs pourraient être en mesure de déverrouiller les encodages par clé.
Research scientists are developing post-quantum algorithms.
​​​​​​​
La Silicon Valley, terrain de jeu d’innombrables entreprises du secteur de l’informatique et des technologies de pointe, a souvent un train d’avance sur le reste du monde, et tout porte à croire que ce sera encore le cas pour ce qui est du développement des ordinateurs quantiques. Au sud de San Francisco, le géant des moteurs de recherche qu’est Google travaille par exemple sur un super ordinateur qui serait en mesure de traiter en un instant des problèmes demandant encore aux ordinateurs actuels des milliards années de temps de calcul. C’est ainsi que l’on pourrait faire avancer la recherche médicale, que des problèmes d’optimisation pourraient être résolue, que la recherche d’algorithmes pourrait être accélérée et que de vastes bases de données pourraient être montées rapidement. Google a dès lors dévoilé sa carte quantique de qubits. IBM, géant de la technique, a également annoncé qu’il lancerait « dans les années à venir » un ordinateur quantique universel sous la forme d’un service cloud.

Le codage d’aujourd’hui bientôt obsolète

Ces mêmes projets suscitent l’inquiétude de certains. Un ordinateur quantique pourrait bouleverser le codage d’aujourd’hui dans la mesure où de  nombreuses méthodes d’encodage établies et répandues peuvent être forcées en un clin d’œil par un ordinateur quantique surpuissant, ce qui reste hors de portée des ordinateurs classiques les plus puissants. La transmission de mots de passe et d’autres données sensibles sur Internet à l’aide du protocole TLS, mieux connu sous son acronyme précédent à savoir le SSL, deviendrait un risque sécuritaire sérieux. La même chose pourrait s’appliquer à des algorithmes tels que RSA, DH, ECDH, ECC et aux protocoles basés sur ceux-ci, comme IPsec, SSH, S/MIME or OpenVPN. Toutes ces méthodes d’encodage asymétrique pourraient être crochetées.
C’est déjà le cas en coulisses. La U.S. National Security Agency travaille sur un superordinateur basé sur la physique quantique qui permettrait d’espionner les gouvernements et autorités gouvernementales. Le Washington Post en a fait état en 2014, en citant l’ancien employé de la NSA Edward Snowden. Un avertissement de la NSA sonne presque comme une note en bas de page quelque peu paradoxale : il y a quelques années, la NSA conseillait déjà de passer des anciennes méthodes d’encodage à la cryptographie post-quantique aussi tôt que possible.

Cryptographie post-quantique ; à la recherche d’un antidote

Les entreprises devraient cependant prendre à  cœur les conseils de la NSA et utiliser des algorithmes comme bouclier face aux nouveaux super-pirates. Le problème est que le processus de normalisation traîne en longueur. Et si la chose peut être moins critique pour notre sécurité immédiate, il est urgent de penser à la protection d’informations censées demeurer secrètes de 5 à 15 ans. Tout cela dépend néanmoins du moment où le premier ordinateur quantique sera disponible.
Dans le même temps, la circulation de données actuelle est déjà sujette à risque. Les pirates sont en mesure d’intercepter et de stoker des informations codées dès maintenant et d’utiliser un ordinateur quantique pour criser le code dans dix ans ou même moins. Des contes à dormir debout ? Loin de là. Il est de notoriété publique que la NSA est autorisée à stocker des données le temps qu’il faut pour briser la cryptographie.

L’UE lance un projet de recherches sur la cryptographie post-quantique

Les progrès notés par la recherche donnent cela dit des raisons d’espérer. L’UE intensifie maintenant ses efforts pour ce qui est des recherches sur la cryptographie post-quantique. La Commission européenne a ainsi investi 3,9 millions d’euros dans le projet PQCRYPTO (Post-Quantum Cryptography), lancé en 2015. Le projet implique des universités et entreprises provenant de 11 pays, dont l’Université de Bochum et l’Université technique de Darmstadt. Les scientifiques testent maintenant la sécurité et l’ergonomie des algorithmes post-quantiques, les optimisant comme par exemple dans le cas du protocole TLS.
Les résultats finaux sont prévus pour 2018. Les sociétés de télécommunications testent en même temps des algorithmes post-quantiques et de nouveaux crypto-algorithmes ne fonctionnant que sur des ordinateurs quantiques.
Les chercheurs essaient de garder un train d’avance dans la mise au point  d’ordinateurs quantiques. « C’est comparable au développement des ordinateurs classiques au début du siècle dernier » - nous dit le professeur Alexander May, professeur à l’université de Bochum. « A l’époque, des algorithmes théoriques hautement efficaces étaient déjà mis au point avant que ces ordinateurs ne puissent être produits en pratique. » 

Comment les entreprises se préparent à l’ère du quantique

Pour empêcher que le trafic de données actuel ne soit décrypté lorsque l’ère quantique sera venue, les entreprises doivent se préparer dès à présent, indique Enrico Thomae, expert en post-quantique chez Operational services GmbH, une coentreprise de Fraport et T-Systems. « Les entreprises devraient identifier les biens critiques et inclure l’exigence de mesures de sécurité à long terme dans leurs analyses de risques pour protéger les informations, avec une confidentialité allant de cinq à quinze ans. «  Thomae conseille une longueur de clé de 256 bits pour les algorithmes asymétriques tels que l’AES. Notamment pour les données stockées dans le cloud, il semble raisonnable d’utiliser un encodage puissant pour empêcher des tiers d’avoir accès à l’information. Même si les services cloud sont d’habitude encore mieux protégés que l’informatique dans les centres de données d’entreprises allemandes moyennes. L’usager du cloud demeure responsable de la protection de données selon le nouveau RGPD de l’UE (General Data Protection Rules).
Dans l’idéal, les entreprises, aussi tôt que possible, actualiseraient leur cryptographie aux informations sensibles censées demeurer confidentielles pour longtemps. De telles informations comprennent d’importantes données professionnelles ou personnelles. À travers la pseudonymisation des données, ces informations resteront pour de bon sous le contrôle complet d’une société. Les experts recommandent également une analyse du système tout entier. Leur raisonnement ? Une fois que le RGPD sera entré en vigueur en mai 2018, les entreprises devront probablement agir vite. Les amendes potentielles pour violations se verront augmentées de manière significative avec l’entrée en vigueur des nouvelles dispositions légales. Ces amendes pourraient s’élever à un total de 20 millions d’euros ou 4% chiffre d’affaires total annuel mondial (on ne sait pas encore lequel de ces nombres sera supérieur à l’autre).
« Les entreprises seraient bien avisées d’aller explorer aussi la question de la crypto-agilité », ajoute Tim Schneider, cryptologue chez Telekom Security. L’idée de « crypto-agilité » signifie que les algorithmes sont utilisés de telle manière qu’ils peuvent être rapidement remplacés. Avec les processus de recodage appropriés, les entreprises peuvent réagir rapidement à de nouvelles attaques ou préparer d’autres remplacements si la normalisation d’algorithmes post-quantiques est toujours en cours. »
Observer la stratégie du wait and see pourrait coûter cher aux entreprises. « La cryptographie post-quantique joue un rôle important dans l’Internet des objets ou la voiture connectée » précise Thomae.
Les véhicules conçus actuellement à l’aide d’algorithmes standards seront produits cinq ans durant et rouleront une quinzaine d’années. « Les actualisations apportées à distance à de nouveaux algorithmes sont rarement fournies car c’est précisément la fonction que les pirates pourraient utiliser » - explique-t-il. Un rappel de véhicules sur les 20 ans à venir pourrait donc être inclus dans le prix dès maintenant, avec des dégâts estimés en milliards de dollars. L’actualisation du logiciel des grandes entreprises et institutions prend des années, le processus menant de la prise de décision à la mise en application d’un processus pouvant être long. Les entreprises du secteur des infrastructures critiques (Critical infrastructure companies) sont connues pour être coutumières du fait.

Des temps d’encodage d’abord plus longs

Selon l’expert, la prolongation des longueurs d’encodage pour les algorithmes asymétriques crée une période tampon. Certains spécialistes prévoient une renaissance du chiffrement RSA avec de très importantes longueurs de clés. Des ordinateurs quantiques plus puissants devraient alors être mis au point pour passer cet obstacle. Les entreprises pourraient aussi créer des processus hybrides mariant une méthode de cryptage et un nouvel algorithme post-quantique.
Le temps presse. Les chercheurs sont en général pour dire que les ordinateurs quantiques apparaîtront dans un futur prévisible. Or il se trouve que les roues tournent dans la Silicon Valley un peu plus vite que partout ailleurs.