Les normes de chiffrement post-quantique du NIST sont finalisées — le compte à rebours de la migration est lancé

En août 2024, le National Institute of Standards and Technology (NIST) a publié trois normes finalisées de cryptographie post-quantique (PQC) — un jalon attendu depuis des années. Pour la plupart des gens, cette nouvelle est passée inaperçue, noyée dans le flot quotidien des actualités tech. Mais pour les professionnels de la cybersécurité et les agences gouvernementales, c'était le coup d'envoi.

Ce qui a été normalisé — et pourquoi c'est important

Les trois nouvelles normes sont :

ML-KEM (FIPS 203), basé sur CRYSTALS-Kyber — conçu pour l'encapsulation de clés et l'échange de clés, remplaçant les mécanismes utilisés aujourd'hui dans TLS, les VPN et les messageries sécurisées.

ML-DSA (FIPS 204), basé sur CRYSTALS-Dilithium — un algorithme de signature numérique pour authentifier les logiciels, documents et communications.

SLH-DSA (FIPS 205), basé sur SPHINCS+ — un algorithme de signature numérique de secours utilisant une approche mathématique complètement différente (cryptographie basée sur les fonctions de hachage) pour une résilience supplémentaire.

Ces algorithmes ont été spécialement conçus pour résister aux attaques des ordinateurs quantiques. C'est cette distinction qui les rend nécessaires : les protocoles de chiffrement sur lesquels le monde repose aujourd'hui — RSA, cryptographie à courbe elliptique (ECC) et échange de clés Diffie-Hellman — sont tous mathématiquement vulnérables face à un ordinateur quantique suffisamment puissant exécutant l'algorithme de Shor.

Pourquoi le chiffrement actuel est menacé

La sécurité de RSA et ECC repose sur l'hypothèse que factoriser de grands nombres ou résoudre le problème du logarithme discret prend un temps irréaliste pour les ordinateurs classiques. Pour une clé RSA de 2048 bits, cela prendrait plus longtemps que l'âge de l'univers avec le matériel actuel. Un ordinateur quantique à grande échelle exécutant l'algorithme de Shor pourrait le faire en quelques heures.

Les ordinateurs quantiques assez puissants pour casser le chiffrement actuel — appelés « ordinateurs quantiques cryptographiquement pertinents » (CRQC) — n'existent pas encore. Mais des estimations crédibles situent leur arrivée dans une fenêtre de 5 à 15 ans. Certaines projections sont plus agressives. IBM, Google et les programmes de recherche soutenus par les gouvernements progressent rapidement, et l'incertitude elle-même constitue la menace.

La menace « Récolter maintenant, déchiffrer plus tard »

Vous n'avez pas besoin d'un ordinateur quantique aujourd'hui pour en bénéficier demain. Les adversaires étatiques — et les agences de renseignement qui les traquent — en sont bien conscients. La stratégie est simple : intercepter et archiver le trafic chiffré maintenant, tant qu'il est encore protégé, et le déchiffrer dès qu'un ordinateur quantique suffisamment puissant sera disponible.

Cette approche, connue sous le nom de « récolter maintenant, déchiffrer plus tard » (HNDL), transforme ce qui ressemble à un problème futur en un problème présent. Communications classifiées, dossiers financiers à long terme, données médicales, propriété intellectuelle protégée aujourd'hui par RSA ou ECC — tout cela est potentiellement en danger si un adversaire patient le collecte. La NSA, la CISA et le NIST ont tous publié des directives signalant explicitement le HNDL comme une menace actuelle nécessitant une action immédiate, et non un sujet à attendre.

Qui a des échéances — et lesquelles

Les agences fédérales américaines fonctionnent avec un mandat de migration formel. Le mémorandum de sécurité nationale 10 (NSM-10) de la Maison-Blanche, publié en 2022, exigeait que les agences inventorient leurs systèmes cryptographiques et commencent la planification de la migration. Les directives de la CISA ont poussé à ce que les systèmes critiques soient migrés vers les algorithmes PQC d'ici 2030, avec un objectif plus large d'achèvement de la migration dans l'infrastructure fédérale d'ici 2035.

Les régulateurs financiers aux États-Unis et dans l'UE observent de près. SWIFT, qui gère les messages interbancaires pour le système financier mondial, travaille avec les banques membres sur la préparation à la PQC. Les réseaux de cartes de paiement et les chambres de compensation ayant des exigences de conservation des données à long terme sont confrontés à une urgence particulière compte tenu du risque HNDL.

Les opérateurs d'infrastructures critiques — énergie, eau, télécommunications — sont sous une pression similaire. Le problème est particulièrement aigu dans les environnements de technologies opérationnelles (OT), où les systèmes embarqués peuvent avoir une durée de vie de 20 ans et aucune voie de mise à niveau facile.

La période de transition hybride

Personne ne s'attend à ce que les organisations basculent d'un jour à l'autre. Les directives actuelles du NIST et des principaux organismes de normalisation recommandent une approche « hybride » pendant la transition : exécuter simultanément un algorithme classique et un algorithme post-quantique, de sorte que la connexion reste sécurisée même si l'un d'eux se révèle plus tard vulnérable.

Cette approche est déjà déployée en pratique. Cloudflare, Google et Apple ont mis en œuvre l'échange de clés hybride dans les connexions TLS. Signal a ajouté une couche post-quantique à son protocole d'accord de clés en 2023. L'approche hybride coûte un peu plus en surcharge de calcul, mais elle offre un filet de sécurité pendant que les nouveaux algorithmes accumulent un examen réel.

Ce que les entreprises et les particuliers doivent faire maintenant

Le défi de la migration n'est pas principalement mathématique — les algorithmes sont prêts. C'est un défi opérationnel et organisationnel. Pour les entreprises et les institutions, les mesures pratiques sont :

Inventorier les actifs cryptographiques. On ne peut pas migrer ce qu'on n'a pas cartographié. Cela signifie identifier chaque endroit de votre infrastructure où RSA, ECC ou DH est utilisé — certificats TLS, clés SSH, pipelines de signature de code, configurations VPN, bases de données chiffrées et authentification API.

Prioriser les données sensibles à longue durée de vie. Les données chiffrées aujourd'hui qui doivent rester confidentielles pendant dix ans ou plus — dossiers de santé, documents juridiques, secrets commerciaux — doivent être traitées comme déjà à risque selon les hypothèses HNDL. Priorisez le rechiffrement de ces données avec des méthodes protégées par PQC en premier.

Mettre à jour les configurations TLS et SSH. Les principales bibliothèques — OpenSSL, BoringSSL, libsodium — ajoutent la prise en charge de la PQC. Les éditeurs de navigateurs et les logiciels serveurs suivent. Maintenir les dépendances à jour et surveiller la prise en charge des suites de chiffrement compatibles PQC dans votre pile Web est une mesure concrète que tout gestionnaire d'infrastructure peut prendre.

Ne pas attendre les fournisseurs. De nombreux fournisseurs de logiciels d'entreprise avancent lentement sur l'intégration de la PQC. Si vous êtes bloqué avec des systèmes qui n'ont pas de feuille de route PQC, c'est un risque à soulever auprès de votre fournisseur maintenant, pas en 2029.

Pour les utilisateurs ordinaires, le conseil le plus pratique est plus simple : utilisez des logiciels activement maintenus et mis à jour. Si votre application de messagerie, votre navigateur et votre système d'exploitation sont à jour, vous bénéficierez probablement des protections PQC lorsqu'elles seront déployées sans rien faire de spécial. Le travail lourd est effectué au niveau de l'infrastructure.

En résumé

La finalisation des normes post-quantiques du NIST clôt la question « quels algorithmes devons-nous utiliser ? » qui maintenait de nombreuses organisations dans une posture d'attente. Cette question a désormais une réponse. Les questions restantes sont opérationnelles : à quelle vitesse pouvez-vous avancer, quelle est votre exposition prioritaire la plus élevée, et vos fournisseurs ont-ils un plan crédible ?

Les migrations cryptographiques sont lentes, coûteuses et perturbatrices — la transition de SHA-1 vers SHA-256 a pris plus d'une décennie et était bien plus simple que ce que la migration PQC exige. Le fait que les ordinateurs quantiques capables de casser RSA n'existent pas encore n'est pas une raison pour retarder. C'est précisément la raison de commencer maintenant, alors qu'il est encore temps de le faire méthodiquement plutôt que dans la panique.

Le compte à rebours a commencé. Les normes sont finalisées. La seule variable qui reste est l'avance que la migration parvient à prendre.