Migration vers la cryptographie résistante au quantique : pourquoi commencer maintenant ?
Publié le 04/7/2023
Auteur : Arnaud DUFOURNET, Chief Marketing Officer
Avant de quitter l’ANSSI, Guillaume Poupard rappelait dans son bilan annuel que 80% de l’action de l’agence était consacrée à la lutte contre l’espionnage de systèmes critiques. La médiatisation des attaques par ransomware fait oublier un peu vite que beaucoup d’attaques cherchent à percer des secrets industriels ou récupérer des informations mettant en péril la sécurité nationale d’un pays.
Face à la menace HNDL* « Harvest Now, Decrypt Later », les États-Unis ont choisi de réagir sans attendre. En faisant voter une loi en décembre 2022 (Quantum Computing Cybersecurity Preparedness Act), Joe Biden a contraint les agences fédérales à recenser d’ici la fin du mois de mai 2023, les systèmes de cryptographie critiques à migrer d’urgence vers la cryptographie résistante au quantique. L’Europe et la France seraient bien inspirées d’impulser le même élan.
Deux niveaux de menace
Il y a en réalité deux niveaux de menaces liés à la suprématie quantique. La première est une « menace fantôme » pour reprendre le terme utilisé par Olivier Ezratti. Nous savons depuis 1994 et les travaux de Peter Shor qu’il existe un algorithme permettant de résoudre les problèmes mathématiques sur lesquels sont fondés le RSA et la cryptographie à courbe elliptique. Cette menace fantôme ne se matérialisera que le jour où un ordinateur quantique disposant de suffisamment de Qubits logiques pourra le jouer sans erreur. Ce jour-là, ce sont toutes les communications internet qui se retrouvent instantanément sans protection ainsi que bon nombre d’architectures de sécurité reposant sur de la cryptographie à clé publique. Ce Q-Day** comme l’appellent les américains, est encore très difficile à prévoir. Néanmoins, la volonté des états pour y parvenir est très forte et des progrès technologiques notables sont régulièrement réalisés.
L’autre menace est déjà effective et perceptible. Les attaques de type HNDL sont déjà une réalité et elles ne concernent pas seulement les infrastructures d’un pays. Tous les secteurs traitant des données à durée de vie longue (supérieure à 10 ans) doivent se préoccuper de cette menace dès à présent.
On pense en priorité aux secteurs de la Défense, de l’énergie, de la santé, de la finance et de l’assurance, des services publics, de l’automobile, de la construction navale et aérienne, des activités télécom et informatiques… Pour ces secteurs, l’enjeu consiste à protéger dès maintenant leurs informations sensibles sans attendre le Q-Day.
Le secteur bancaire est un des secteurs qui a bien perçu le danger. En mars dernier, le FS-ISAC (Financial Services Information Sharing and Analysis Center), une association professionnelle présente dans plus de 70 pays dont la mission est le partage d’informations pour prévenir le risque cyber pour le secteur financier, a publié un rapport insistant sur la menace quantique et la nécessité d’avoir un plan de migration vers de la cryptographie résistante au quantique. Les banques centrales comme la Banque de France ont déjà démarré des POC pour commencer à s’habituer à protéger les transmissions d’information avec de la cryptographie basée sur des algorithmes résistants au quantique.
Pourquoi maintenant ?
La réponse est assez simple : parce qu’une course contre la montre s’est engagée et que les projets de migration vont être très longs à mener. L’expérience passée montre en effet qu’il faut plusieurs années voire une décennie au moins pour migrer les systèmes de cryptographie (hardware, software et les services associés) utilisant RSA ou reposant sur les courbes elliptiques (ECDH et ECDSA).
La première étape d’un projet de migration consistant à faire l’inventaire de toutes les technologies de cryptographie utilisées par une organisation, peut s’avérer longue et fastidieuse. Il faut notamment cartographier ces technologies, recenser les applications et les logiciels qui les utilisent, documenter les raisons de leur usage et identifier tous les fournisseurs impliqués. Ensuite, ce sont les data qui transitent par ces systèmes qu’il faut analyser pour déterminer leur degré de sensibilité et de criticité pour enfin établir des priorités.
Cet exercice peut comporter son lot de surprises et d’inconnues. Microsoft en a fait ainsi l’amer expérience en 2013. Dans l’hypothèse où le RSA serait cassé, Microsoft s’était lancé dans l’analyse de la cryptographie utilisée dans Windows 7. Le résultat fut édifiant : soixante cas d’usage du RSA ont été identifiés sans pouvoir expliquer les raisons de cet usage. Difficile dans ces circonstances de remplacer quelque chose dont on ne connait pas la finalité !
Il n’y a plus de raisons d’attendre
Les organisations disposent de tous les éléments pour démarrer leur projet de migration. Tout d’abord, les modes opératoires sont disponibles : l’ANSSI a montré la voie à suivre pour se prémunir de la menace quantique en préconisant l’hybridation des systèmes ; c’est-à-dire l’introduction progressive de l’usage d’algorithmes résistants au quantique combinés aux algorithmes actuels.
Mais ce n’est pas la seule agence de sécurité en Europe à alerter sur la menace quantique et les mesures à prendre. Le BSI, son équivalent en Allemagne, a publié un guide très clair sur ce thème. L’ENISA de son côté, a publié en octobre dernier, une étude sur l’intégration de la cryptographie résistante au quantique. Enfin, fraichement nommée au poste de CEO du NCSC (National Cyber Security Center) au Royaume-Uni, Linda Cameron a déclaré en avril dernier lors d’une keynote, que les organisations devaient impérativement se préparer à migrer les systèmes de cryptographie qui sécurisent les communications internet et plus largement l’économie digitale.
Les algorithmes réputés résistants à une attaque quantique sont également là. Après six années et trois tours de sélection, le NIST a retenu quatre algorithmes en juillet 2022 (trois pour la signature électronique, un pour le chiffrement de clé publique) et promet une publication des standards de déploiement pour 2024.
Le NCCoE (National Cybersecurity Center of Excellence), une division du NIST, a récemment lancé un projet appelé « Migration to Post-Quantum Cryptography » dont l’objectif est de centraliser et partager les bonnes pratiques avec une vingtaine d’industriels et fournisseurs de solutions regroupés au sein d’un consortium. Un livre blanc ayant pour thème « Getting Ready for Post-Quantum Cryptography: Exploring Challenges Associated with Adopting and Using Post-Quantum Cryptographic Algorithms » est en accès libre sur le site web du NCCoE.
Enfin dernier point important : le déploiement d’algorithmes résistants au quantique n’a aucun lien avec le développement d’ordinateurs quantiques. Ils se déploient sur les infrastructures et canaux de communications existants. Aucune modification de matériel majeure n’est requise. Ces algorithmes peuvent être exécutés sur des appareils et des ordinateurs classiques. L’hybridation peut s’effectuer dès à présent.
Lorsque nous interrogeons des RSSI sur leur connaissance des enjeux autour de la cryptographie résistante au quantique, la réponse est encore trop souvent la même : « oui j’en ai entendu parler mais nous n’avons pas encore de projets dans ce domaine ». Dans un sondage réalisé par Deloitte à l’été 2022 auprès de responsables de la sécurité informatique d’entreprises américaines, 50% des sondés admettaient être en risque par rapport aux attaques de type « HNDL». Presque autant, 45% espéraient finir l’évaluation de leur exposition à cette menace dans les douze prochains mois qui suivaient. On ne peut qu’espérer la même prise de conscience chez leurs homologues européens. À moins que ce ne soit encore l’arrivée d’une nouvelle réglementation européenne ou nationale qui ne les enjoignent à agir.
* HNDL : attaque consistant à intercepter des informations chiffrées (données personnelles, transactions financières, données de santé, propriété intellectuelle et industrielle …) avec l’espoir de les décrypter à l’aide d’un ordinateur quantique.
** Q-Day : jour où un ordinateur quantique dispose du nombre de qubits logiques nécessaires pour jouer sans erreur l’algorithme de Shor et donc casser des clés RSA.