La migration vers la cryptographie post-quantique a commencé — la plupart des organisations ne sont pas prêtes

En août 2024, le NIST a publié trois normes finalisées de cryptographie post-quantique : ML-KEM (basé sur CRYSTALS-Kyber), ML-DSA (basé sur CRYSTALS-Dilithium) et SLH-DSA (basé sur SPHINCS+). Ces algorithmes sont conçus pour résister aux attaques des ordinateurs quantiques — une menace qui n’existe pas encore pleinement mais qui approche assez vite pour que les organisations protégeant des secrets à long terme doivent agir dès maintenant.

La plupart ne l’ont pas fait. Les équipes de sécurité déjà débordées par la gestion des menaces actuelles considèrent souvent la migration post-quantique comme un problème futur. Ce n’est pas le cas. Le modèle de menace est déjà actif.

Le problème "Récolter maintenant, déchiffrer plus tard" (Harvest Now, Decrypt Later)

La raison pour laquelle la migration post-quantique est urgente aujourd’hui — même si des ordinateurs quantiques cryptographiquement pertinents n’existent pas encore — est une stratégie appelée Harvest Now, Decrypt Later (HNDL). Des acteurs étatiques collectent dès aujourd’hui le trafic Internet chiffré, le stockent et prévoient de le déchiffrer une fois que l’informatique quantique aura atteint une capacité suffisante.

Si votre organisation a transmis des données sensibles — dossiers financiers, propriété intellectuelle, communications gouvernementales, informations de santé personnelles — au cours des dernières années, ces données peuvent déjà se trouver dans le stockage d’un adversaire. Lorsqu’un ordinateur quantique suffisamment puissant arrivera, le chiffrement RSA et à courbe elliptique qui les protège deviendra rétroactivement cassable.

La CISA et la NSA estiment que des ordinateurs quantiques cryptographiquement pertinents pourraient émerger entre 2030 et 2035. Ce n’est pas une marge confortable — c’est une date limite stricte pour migrer toute donnée ou communication devant rester confidentielle pendant plus de quelques années.

Ce que sont réellement les nouvelles normes

Les trois normes du NIST couvrent différentes fonctions cryptographiques :

ML-KEM (Mécanisme d’encapsulation de clés basé sur des modules réticulaires) remplace RSA et Diffie-Hellman à courbe elliptique pour l’échange de clés — le mécanisme qui établit des secrets partagés entre deux parties communiquant sur un canal non sécurisé. C’est ce qui protège les connexions HTTPS et les sessions TLS.

ML-DSA (Algorithme de signature numérique basé sur des modules réticulaires) remplace RSA et ECDSA pour les signatures numériques — vérifier qu’un message, une mise à jour logicielle ou un certificat provient bien de qui il prétend provenir.

SLH-DSA (Algorithme de signature numérique basé sur des fonctions de hachage sans état) fournit un schéma de signature alternatif avec des fondements mathématiques différents (fonctions de hachage plutôt que réseaux), servant de protection contre les vulnérabilités basées sur les réseaux.

Tous trois reposent sur des problèmes mathématiques — problèmes de réseaux et fonctions de hachage — que l’on pense difficiles à résoudre pour les ordinateurs quantiques, contrairement aux problèmes de factorisation et de logarithme discret qui sous-tendent la cryptographie RSA et à courbe elliptique.

Qui bouge déjà

Les premiers à agir sont logiquement les organisations ayant les profils de menace les plus élevés et les durées de vie des données les plus longues.

Google a intégré ML-KEM dans Chrome 116 en 2023, rendant les connexions TLS entre Chrome et les serveurs Google résistantes au quantique par défaut — un déploiement réel à l’échelle de milliards de connexions. Apple a ajouté l’échange de clés post-quantique au protocole PQ3 d’iMessage, protégeant les clés de chiffrement des messages contre le déchiffrement rétroactif. Signal a mis en œuvre son propre accord de clés post-quantique (PQXDH) en 2023. Cloudflare expérimente TLS post-quantique depuis des années et le propose désormais en production.

Côté gouvernement : la NSA a imposé que les National Security Systems (NSS) — les systèmes traitant des informations classifiées — doivent commencer la migration d’ici 2025 et l’achever d’ici 2030. La CISA a publié des directives pour les opérateurs d’infrastructures critiques. Le Centre national de cybersécurité du Royaume-Uni a publié des échéanciers similaires.

Ce qui rend la migration difficile

La migration post-quantique n’est pas une simple mise à jour logicielle. Elle nécessite de trouver et de remplacer les primitives cryptographiques intégrées dans tous les systèmes d’une organisation — un processus appelé inventaire cryptographique ou évaluation d’agilité cryptographique (crypto-agility assessment).

L’ampleur du problème est grande. Une entreprise typique utilise TLS partout, la signature de code pour les déploiements logiciels, SSH pour l’accès aux serveurs, le courrier électronique chiffré, les bases de données chiffrées, les systèmes de sauvegarde chiffrés, les VPN et les modules de sécurité matériels pour le stockage des clés. Chacun nécessite une évaluation : quel algorithme est utilisé, quelles données protège-t-il, et combien de temps ces données doivent rester confidentielles.

Les systèmes hérités compliquent la tâche. Les systèmes de contrôle industriel, les dispositifs médicaux, les infrastructures financières et les systèmes gouvernementaux exécutent souvent des logiciels qui n’ont pas été mis à jour depuis une décennie ou plus. Corriger les algorithmes cryptographiques dans le Firmware ou les systèmes embarqués est souvent impossible sans remplacer le matériel.

La performance est une autre préoccupation. Les algorithmes post-quantiques ont des tailles de clés et de signatures plus grandes que leurs équivalents classiques. Les clés publiques ML-KEM font 1.2 Ko contre 91 octets pour ECDH. Les signatures ML-DSA font 2.4-4.6 Ko contre 64-72 octets pour ECDSA. Pour les applications à bande passante limitée ou sensibles à la latence, cela compte.

Agilité cryptographique : la bonne architecture à long terme

La leçon que la communauté de sécurité tire de la migration post-quantique n’est pas seulement "mettre à jour vers de nouveaux algorithmes" — c’est "construire des systèmes capables de changer d’algorithmes sans tout reconcevoir". Ce principe s’appelle l’agilité cryptographique (crypto-agility).

Les systèmes agiles cryptographiquement négocient les algorithmes à utiliser à l’exécution, stockent les identifiants d’algorithme à côté des données chiffrées et prennent en charge plusieurs algorithmes simultanément pendant les périodes de transition. TLS 1.3 intègre l’agilité cryptographique — c’est pourquoi déployer TLS post-quantique est réalisable via une mise à jour logicielle. Les systèmes qui ont codé en dur leurs algorithmes n’ont pas cette option.

Les organisations qui construisent de nouvelles infrastructures aujourd’hui devraient considérer l’agilité cryptographique comme une exigence architecturale non négociable. Les organisations qui lutteront le plus lors de la prochaine vague de transitions cryptographiques — qu’il s’agisse de post-quantique, de nouveaux schémas de signature ou de dépréciations d’algorithmes — sont celles qui ont traité la cryptographie comme un problème résolu plutôt qu’une couche nécessitant une maintenance.

Que faire maintenant

Les mesures pratiques immédiates pour la plupart des organisations : réaliser un inventaire cryptographique pour identifier où RSA, ECDH et ECDSA sont utilisés ; prioriser les systèmes qui protègent des secrets à long terme ou des communications sensibles ; commencer à tester les algorithmes post-quantiques dans des environnements non productifs ; et mettre à jour les configurations TLS pour négocier l’échange de clés post-quantique là où le support des bibliothèques existe (OpenSSL 3.x prend en charge ML-KEM en mode hybride).

Les organisations qui considèrent 2030 comme une date limite confortable se retrouveront en mode crise d’ici 2028, lorsque la charge de travail de migration deviendra indéniable et que l’offre d’ingénieurs cryptographiques expérimentés deviendra concurrentielle. Ceux qui commencent l’inventaire maintenant — même si la migration complète prend des années — auront des options. Ceux qui ne le font pas n’en auront pas.