Pourquoi il est temps d'investir dans la cybersécurité quantique :

L'avis de Brian Witten, vice-président et directeur de la sécurité des produits chez Aptiv

Pourquoi il est temps d'investir dans la cybersécurité quantique : l'avis de Brian Witten, vice-président et directeur de la sécurité des produits chez Aptiv

Les pirates informatiques se préparent activement à l'émergence de l'informatique quantique, un domaine qui menace de bouleverser le chiffrement moderne et qui pourrait permettre le déchiffrement massif de données volées. Face à cette situation, Brian Witten, vice-président et directeur de la sécurité des produits chez Aptiv, a partagé son point de vue. Il estime qu'il est temps d'investir dans la cybersécurité quantique.

À l'heure actuelle, environ 80 % des entreprises recourent au chiffrement pour protéger leurs informations sensibles. Cependant, malgré ces mesures de sécurité, les cybercriminels continuent de cibler des données chiffrées, espérant que, dans un avenir proche, ils pourront les déchiffrer grâce aux avancées de l'informatique quantique. Cette situation soulève des préoccupations légitimes, car les ordinateurs quantiques, en raison de leur rapidité de calcul, remettent en question la solidité des algorithmes de chiffrement actuellement utilisés.

En 2024, la directrice générale d'IBM pour l'Europe, le Moyen-Orient et l'Afrique, avait notamment déclaré sur le sujet : "La quantique va-t-elle vraiment créer un Armageddon de la cybersécurité ? C'est ce qui va se passer." En réponse, le directeur général de SandboxAQ avait déclaré : "La plupart des "entreprises n'ont pas encore de feuille de route solide sur la manière dont elles vont utiliser l'IA et l'informatique quantique pour résoudre des problèmes fondamentaux".

Face à cette situation, Brian Witten, vice-président et directeur de la sécurité des produits chez Aptiv, a partagé son point de vue. Il estime qu'il est temps d'investir dans la cybersécurité quantique. Voici son avis sur le sujet :


Pourquoi il est temps d'investir dans la cybersécurité quantique

Jusqu'à présent, l'informatique reposait sur les nombres binaires : des uns et des zéros, vrai ou faux, allumé ou éteint. En revanche, l'informatique quantique prend en charge plusieurs états, explorant des milliards de possibilités à la fois, ce qui semble tout droit sorti d'un roman de science-fiction.

Mais l'informatique quantique est sortie du domaine de la science-fiction pour entrer dans la réalité. Soucieux de devancer ses principaux concurrents tels qu'IBM et Google, Microsoft a annoncé au début de l'année le développement d'une puce informatique quantique de la taille d'une paume. Les informaticiens peuvent déjà voir comment l'informatique quantique pourrait améliorer le monde, où elle pourrait résoudre des problèmes un million de fois plus rapidement que les ordinateurs actuels, et où les progrès techniques pourraient réduire la taille physique des ordinateurs quantiques.

Des travaux révolutionnaires sont véritablement en cours. Les voies viables pour faire passer les ordinateurs quantiques à des millions de qubits sont désormais claires.

Mais si l'informatique quantique promet d'offrir une plus grande puissance de calcul, elle comporte également de nouveaux dangers. Les systèmes de chiffrement qui protègent les données aujourd'hui deviendront vulnérables lorsque les ordinateurs quantiques pratiques feront leur apparition dans sept à dix ans. Les ordinateurs quantiques capables de briser les normes cryptographiques actuelles représentent une menace pour la vie privée des individus et la sécurité des organisations et des nations entières.

Il s'agit d'un problème « actuel ».

Même si sept à dix ans peuvent sembler loin, la préparation aux menaces quantiques doit commencer dès maintenant, et non une fois qu'elles se seront concrétisées. Les organisations ont besoin de temps pour mettre en œuvre méthodiquement des plans de transition vers le chiffrement post-quantique (PQC), et cela s'applique aussi bien à ceux qui disposent d'une infrastructure informatique qu'à ceux qui développent des systèmes définis par logiciel.

« Les systèmes de chiffrement actuels, tels que RSA et ECC [cryptographie à courbe elliptique], deviendront obsolètes lorsque l'informatique quantique aura atteint sa maturité », a déclaré John Benkert, cofondateur de Cigent. « Les dirigeants considèrent souvent que les menaces de cybersécurité ne sont que des problèmes actuels. Mais il s'agit d'un enjeu d'avenir, particulièrement pertinent pour les secteurs qui traitent des données sensibles et à longue durée de vie, comme la santé, la finance ou l'administration publique. »

La remédiation nécessite une planification à long terme. Les organisations qui attendent que les ordinateurs quantiques aient brisé le chiffrement pour faire face à la menace constateront qu'il est trop tard.

L'une des raisons pour lesquelles il est urgent de commencer dès aujourd'hui est qu'un adversaire pourrait récolter des données maintenant et les déchiffrer plus tard, une fois que des ordinateurs quantiques à grande échelle seront disponibles. La menace de « capturer maintenant, exploiter plus tard » signifie que des algorithmes résistants au quantique doivent être déployés bien avant que les ordinateurs quantiques à grande échelle nécessaires pour mener à bien une telle attaque ne soient disponibles.

La bonne nouvelle, c'est qu'une grande partie du travail préparatoire a déjà été effectuée. En 2024, après sept ans de collaboration internationale, l'Institut national américain des normes et technologies (NIST) a finalisé son ensemble principal d'algorithmes de chiffrement post-quantiques. Cependant, ces algorithmes doivent être ajoutés à des protocoles courants et moins courants, notamment le protocole TLS (Transport Layer Security), qui sous-tend les navigateurs web.

« Tous les protocoles de sécurité qui utilisent le chiffrement à clé publique et les signatures numériques doivent désormais être mis à jour pour utiliser les nouvelles normes post-quantiques. Le protocole TLS doit donc être mis à jour pour utiliser le chiffrement post-quantique, et les certificats numériques utilisés par le TLS pour authentifier les points d'extrémité doivent être mis à jour pour utiliser les signatures post-quantiques. En fait, chaque utilisation de signatures numériques à clé publique doit être mise à jour », explique Brian LaMacchia, ingénieur en chiffrement qui a supervisé la transition post-quantique de Microsoft de 2015 à 2022 et qui a depuis fondé Farcaster Consulting Group.

Et ce n'est que le début du processus. La mise en œuvre de ces mises à jour impliquera beaucoup de travail pour les professionnels de la sécurité, et l'intégration de ces changements dans les infrastructures des systèmes existants prendra du temps. Heureusement, l'ajout de la résistance quantique aux nouveaux systèmes n'allonge pas les délais de développement et n'entraîne pas de coûts supplémentaires. Les algorithmes sont gratuits. Les processus PQC ne nécessitent pas de puces plus coûteuses, même s'ils peuvent en utiliser d'autres. Il s'agit simplement d'utiliser des puces et des algorithmes plus récents et différents, et non nécessairement des composants plus coûteux.

Comme pour le bug de l'an 2000 il y a tant d'années, les plus grands défis liés au quantique concernent les systèmes existants. Chaque entreprise doit identifier et mettre à jour l'ensemble de ses piles logicielles et convertir ses utilisations existantes de la cryptographie vers les nouveaux algorithmes. Mais la mise en œuvre de la PQC sera plus difficile que la résolution du problème du bug de l'an 2000, a affirmé M. LaMacchia. Le problème est plus difficile à décrire et sa résolution est plus complexe. Sans réglage ou mise à niveau des systèmes, le remplacement des algorithmes de cybersécurité peut affecter les performances des applications et des réseaux.

Et, surtout, avec le bug de l'an 2000, tout le monde connaissait la date limite. Avec la cybersécurité quantique, la date limite est plus floue. Les adversaires potentiels ne font pas d'annonce lorsqu'ils acquièrent de nouvelles capacités pour pirater les systèmes.

Ce que la cybersécurité quantique signifie pour les industries critiques

Dans certaines industries, le cycle de vie des produits est rapide. Cependant, les industries qui construisent des équipements destinés à fonctionner pendant des décennies, tels que les automobiles, les avions et les oléoducs, doivent concevoir des systèmes sécurisés capables de résister aux tentatives d'intrusion pendant des années, et pas seulement aujourd'hui.

Pour ce faire, les mises à jour du micrologiciel doivent être signées numériquement par le fabricant, et ces algorithmes de signature numérique doivent être résistants à la cryptographie quantique afin de garantir qu'un véhicule ne charge pas de mise à jour malveillante, a déclaré M. LaMacchia, qui a lancé cette mise en garde : « Si quelqu'un parvient à contourner votre signature numérique, il peut usurper votre identité. »

Les systèmes des équipementiers automobiles utilisent le chiffrement pour vérifier les signatures numériques des fabricants, par exemple lors de la validation des mises à jour du micrologiciel et du code d'application dans les véhicules équipés de logiciels. Une authentification compromise peut avoir des conséquences néfastes. Quelqu'un pourrait par exemple prendre le contrôle d'un véhicule à distance ou envoyer un code malveillant qui s'exécutera automatiquement plus tard, même après que le véhicule ait été déconnecté.

Cependant, les nouveaux algorithmes de cybersécurité quantiques sont plus volumineux que les anciens. « Les tailles des clés sont plus importantes, tout comme les textes chiffrés, ce qui signifie que vous avez besoin de plus d'espace de stockage », explique LaMacchia. Par rapport à la taille de la plupart des systèmes, l'espace supplémentaire est faible, mais dans les systèmes embarqués compacts, « le code doit refléter ces changements », ajoute-t-il.


Que faire aujourd'hui ?

Voici quelques mesures que les entreprises peuvent prendre dès aujourd'hui pour se préparer aux menaces potentielles liées à la sécurité quantique.

• Établissez un inventaire. Identifiez les changements à apporter à l'ensemble des chaînes d'outils. Dressez la liste de tout ce qui est utilisé aujourd'hui, ainsi que des responsables de sa mise en œuvre et de son processus de mise à jour.
  
  « Qui est responsable des dispositifs physiques qui sécurisent vos VPN ? », a demandé LaMacchia. « Qui est responsable du chiffrement du stockage ? Pour le chiffrement que vous utilisez, s'agit-il d'une opération effectuée dans le logiciel ? Est-ce le fabricant du matériel ? » Ne négligez aucun détail, a-t-il conseillé. Une fois l'inventaire établi, LaMacchia a déclaré qu'il fallait parcourir la liste et se demander : « Comment vais-je mettre à jour cela pour la PQC ? »
• Évitez d'accumuler une dette technique. Commencez dès aujourd'hui à utiliser le chiffrement résistant à l'informatique quantique et intégrez la crypto-agilité dans les couches les plus basses du système.
  
  Ce n'est pas un concept nouveau pour les équipes d'ingénieurs. La sécurité du chiffrement comprend déjà un ensemble d'algorithmes différents. Les ingénieurs peuvent compléter les algorithmes de chiffrement asymétrique traditionnels avec les algorithmes de la nouvelle norme NIST.
• Procédez aux ajustements techniques nécessaires. Les nouveaux algorithmes PQC sont plus volumineux et plus complexes que ceux auxquels les équipes d'ingénieurs sont habituées. Dans certains cas, les messages signés numériquement contenant des informations de sécurité pourraient tripler de taille, ce qui pourrait avoir un impact sur le stockage et la bande passante.
  
  Par exemple, selon LaMacchia, une personne qui construit des oléoducs pourrait vouloir installer des capteurs à faible consommation d'énergie tous les kilomètres, avec des batteries qui dureront cinq ans. Tripler la quantité d'énergie nécessaire pour le calcul et les messages sans fil à faible consommation d'énergie pourrait réduire la durée de vie des batteries. Sans une intégration minutieuse des nouveaux algorithmes, les systèmes ne dureront pas aussi longtemps que leurs spécifications l'exigent.
• Assurez-vous que les fournisseurs sont prêts pour le quantique. Tous les fournisseurs d'une chaîne d'approvisionnement OEM doivent être sur la même longueur d'onde. Les appels d'offres doivent demander aux fournisseurs d'inclure un plan de mise à jour PQC. Vont-ils mettre à jour automatiquement le produit ou le service ? Quelles garanties offrent-ils ? Il est particulièrement important d'obtenir des réponses à ces questions pour tous les protocoles propriétaires, tels que ceux utilisés dans de nombreux systèmes de fabrication.

Pour rappel, en août 2024, le NIST a publié une série d'outils de chiffrement conçus pour résister à l'attaque d'un ordinateur quantique. Ces normes de chiffrement post-quantique sécurisent un large éventail d'informations électroniques, des messages électroniques confidentiels aux transactions de commerce électronique qui propulsent l'économie moderne. Le NIST avait encouragé les administrateurs de systèmes informatiques à commencer la transition vers les nouvelles normes dès que possible.

Ces algorithmes de chiffrement post-quantique sont conçus pour se défendre contre les futurs piratages effectués par des ordinateurs quantiques, une menace qui n'a pas été prouvée mais qui se développe rapidement et qui pourrait rapidement casser les types de chiffrement utilisés presque universellement aujourd'hui, y compris ceux qui sont utilisés dans les systèmes les plus sensibles du Pentagone.

En outre, en février 2025, Europol a appelé les institutions financières et les décideurs politiques du monde entier à donner la priorité à la transition vers un chiffrement à sécurité quantique et à déployer des solutions. Avec le développement rapide de l'informatique quantique, le secteur financier est confronté à une "menace imminente pour la sécurité de son chiffrement", a souligné l'autorité policière. Europol a mis en garde contre le risque croissant de la stratégie d'attaque "stocker maintenant - déchiffrer plus tard" : Des acteurs malveillants pourraient collecter des données chiffrées aujourd'hui afin de les déchiffrer plus tard à l'aide d'ordinateurs quantiques


À propos d'Aptiv

Aptiv est une entreprise technologique mondiale qui se consacre à la création d'un avenir plus sûr, plus écologique et plus connecté. Aptiv prospère dans les contraintes strictes de l'edge embarqué, en intégrant l'intelligence artificielle dans des appareils de pointe tels que les jets, les véhicules et la robotique, et en contribuant à garantir leur compatibilité avec la technologie quantique. Aptiv a annoncé sa collaboration avec des entreprises de semi-conducteurs pour présenter un chiffrement résistant à la technologie quantique accéléré par puce.

Source : Aptiv

Et vous ?

Pensez-vous que ces recommandations sont crédibles ou pertinentes ?
Quel est votre avis sur le sujet ?

Voir aussi :

Qu'est-ce que le chiffrement post-quantique ? L'ordinateur quantique pourrait briser les algorithmes de chiffrement, rendant nos secrets électroniques vulnérables

Combien de qubits faut-il pour casser les algorithmes de cryptographie à clé publique ? Le chiffrement RSA à 2048 bits "pourrait être cassé par un ordinateur quantique à 1 million de qubits en une semaine"

Ordinateur quantique et démystification du battage médiatique : la Chine n'a pas cassé le chiffrement militaire, comme l'avaient prétendu des chercheurs chinois