C’est un point de bascule, comme le signale la recherche du géant américain IBM. Après huit ans de travail, le National Institute of Standards and Technology (NIST) vient de valider trois ensembles de normes de cryptographie post-quantique, qui sont donc désormais “prêts à être utilisés immédiatement”.
“Nous encourageons les administrateurs système à commencer à les intégrer immédiatement dans leurs systèmes, car une intégration complète prendra du temps”, a prévenu l’un des mathématiciens du NIST.
Trois normes, une quatrième en finalisation
La première norme s’appelle ML-KEM. Elle est basée sur l’algorithme Crystals-Kyber. La seconde, ML-DSA, repose sur Crystals-Dilithium. Enfin la troisième, SLH-DSA, utilise l’algorithme Sphincs+. Les deux premières normes mentionnées “ont été développées par des chercheurs en cryptographie d’IBM Research à Zurich avec des collaborateurs externes”, signale “Big Blue”.
Quant à la troisième, elle a été co-développée par un scientifique qui a depuis rejoint IBM Research, poursuit l’entreprise. Pour résumer, Crystals-Kyber est conçu pour le chiffrement généraliste, utilisé par exemple pour la création de sites web sécurisés. Crystals-Dilithium et Sphincs+ sont eux relatifs aux signatures numériques.
Une quatrième norme, Falcon, auquelle est associée l’entreprise française Thales, est toujours en cours d’élaboration. Ce projet de norme, également relatif aux signatures numériques, devrait être validé pour la fin de l’année.
L’annonce du NIST était très attendue dans la sécurité informatique. Comme le rappelle l’organisme, les ordinateurs quantiques sont très prometteurs en matière de calcul pour les prévisions météorologiques ou la conception de médicaments. Cependant, cette nouvelle forme d’informatique pourrait signer la fin des méthodes de chiffrement actuelles en cassant facilement des protocoles comme RSA.
Q-Day
C’est ce qu’on appelle le “Q-Day”, un jour synonyme de catastrophe pour la sécurité informatique. Il était donc urgent de mettre au point de nouveaux algorithmes de chiffrement suffisamment robustes pour mettre en échec les futurs ordinateurs quantiques.
“Les algorithmes normalisés par le NIST reposent sur différents problèmes mathématiques”, précise l’organisme américain. Ils mettent en défaut à la fois les ordinateurs actuels et les futures machines quantiques. C’est ce qu’on appelle des algorithmes hybrides.
Un sujet évidemment regardé de près en France. Dans un avis publié à la fin de l’année 2023, l’Anssi signalait avoir accéléré son agenda initial. Elle table désormais sur des premiers visas de sécurité mettant en œuvre de la cryptographie post-quantique hybride vers 2024-2025.
L’agence “encourage toutes les industries à inclure la menace quantique dans leur analyse de risque”, rappelait elle à cette occasion. Et de suggérer d’envisager, dès que possible, d’inclure des mesures de protection quantique dans les produits cryptographiques concernés.