En août dernier, le National Institute of Standards and Technology (NIST) des États-Unis a publié ses trois premières normes de chiffrement post-quantique finalisées, conçues pour protéger contre les attaques menées par des ordinateurs quantiques. Cette avancée marque une nouvelle étape clé dans l’évolution de la cybersécurité. Mais quel impact cela aura-t-il sur les mots de passe ?
L’enthousiasme autour de l’informatique quantique est facile à comprendre : en exploitant les principes du monde quantique, ces ordinateurs sont capables d’effectuer des calculs impossibles à réaliser avec les systèmes classiques. Cette révolution pourrait transformer des secteurs entiers, de la médecine à la finance, en ouvrant la porte à des avancées inédites.
Cependant, cette technologie apporte également son lot de menaces majeures, notamment en amplifiant le risque de cyberattaques à une échelle sans précédent.
Le rôle des nombres premiers
Comme l’a souligné le NIST, les algorithmes cryptographiques classiques reposent sur “la difficulté qu’ont les ordinateurs conventionnels à factoriser de grands nombres”.
Le principe est simple : ces algorithmes sélectionnent deux grands nombres premiers et les multiplient pour obtenir un nombre encore plus grand. Pour casser ce chiffrement, un ordinateur doit inverser ce processus et retrouver les nombres premiers d’origine, une tâche qui prendrait des milliards d’années à un système classique.
C’est là que l’informatique quantique change la donne. Un ordinateur quantique puissant pourrait tester simultanément tous les facteurs premiers possibles, au lieu de les examiner un par un. Résultat : “plutôt que des milliards d’années, un ordinateur quantique pourrait résoudre ce problème en quelques jours, voire quelques heures”, explique le NIST, menaçant ainsi des données aussi sensibles que les secrets d’État ou les informations bancaires.
Cette menace est directement liée à l’algorithme de Shor, développé par Peter Shor en 1994. Cet algorithme est capable de casser les problèmes mathématiques sur lesquels repose la cryptographie à clé publique (PKC) en réalisant la factorisation des nombres premiers bien plus rapidement qu’un ordinateur classique. Jusqu’ici, cela nécessitait un ordinateur quantique suffisamment puissant – une technologie qui se rapproche désormais de la réalité.
La cryptographie post-quantique
C’est ici qu’intervient la cryptographie post-quantique (PQC). Contrairement aux algorithmes traditionnels de cryptographie à clé publique (PKC), la PQC repose sur des problèmes mathématiques considérés comme insolubles à la fois pour les ordinateurs classiques et quantiques, selon le National Cyber Security Centre (NCSC) britannique.
Les nouvelles normes du NIST sont le fruit d’un travail de huit ans, mené par des experts en cryptographie de renom. L’objectif : développer des algorithmes capables de résister aux cyberattaques quantiques.
Les premières normes finalisées dans le cadre du projet de standardisation PQC du NIST sont :
- ML-KEM (basé sur l’algorithme CRYSTALS-Kyber) : norme principale pour le chiffrement général.
- ML-DSA (utilisant CRYSTALS-Dilithium) : destiné à la protection des signatures numériques.
- SLH-DSA (issu de Sphincs+) : également axé sur les signatures numériques.
En complément, le NIST évalue deux autres ensembles d’algorithmes qui pourraient servir de solutions de secours :
- L’un dédié au chiffrement général, basé sur un problème mathématique différent de l’algorithme principal.
- L’autre consacré à la protection des signatures numériques.
Cependant, ces alternatives ne remplaceraient pas les trois algorithmes principaux, mais serviraient de systèmes de secours. Dustin Moody, mathématicien du NIST en charge du projet de standardisation PQC, souligne l’urgence de la situation et appelle les administrateurs système à commencer immédiatement leur intégration, rappelant que le déploiement complet prendra du temps.
Une nouvelle ère pour les mots de passe
Qu’est-ce que cela signifie pour les mots de passe que nous utilisons pour nous connecter en ligne ? Les mots de passe ne sont pas prêts de disparaître. D’une part, nous ne savons pas encore quand l’informatique quantique atteindra son plein potentiel. S’il est essentiel de se préparer à ses impacts, il ne faut pas non plus céder à la panique.
Les entreprises et les organisations continueront à s’appuyer sur les avantages qu’offrent les mots de passe, notamment leur simplicité, leur flexibilité (ils peuvent être réinitialisés facilement) et leur efficacité intrinsèque (ils sont soit corrects, soit incorrects).
L’enjeu n’est donc pas de supprimer les mots de passe, mais plutôt de renforcer les verrous qui protègent nos données et nos ressources critiques. En utilisant des mots de passe plus longs et plus complexes, combinés à des clés de hachage de plus grande taille, on peut renforcer leur résistance aux attaques – y compris celles des futurs ordinateurs quantiques.
Que faire pour anticiper ces évolutions ?
- Évaluer si votre sécurité actuelle peut résister aux attaques quantiques
- Prévoir une mise à niveau du stockage des mots de passe
- Utiliser un chiffrement robuste aujourd’hui et capable de résister aux ordinateurs quantiques demain
- Suivre l’évolution des nouvelles normes de sécurité
La meilleure façon de contrer les pirates – y compris dans un monde quantique – est de ne pas opposer les différentes solutions de sécurité. Une protection optimale repose sur l’authentification multifactorielle (MFA), qu’il s’agisse d’un mélange de mots de passe, passkeys, biométrie ou autres mécanismes avancés.
Bloquez les mots de passe compromis dans Active Directory
Quelle que soit l’évolution des menaces, la gestion des mots de passe reste essentielle – et elle le sera encore plus face aux risques posés par l’informatique quantique. Specops Password Policy empêche les utilisateurs de créer des mots de passe faibles et détecte ceux qui ont été compromis ou divulgués. Grâce à son intégration avec Active Directory, la solution bloque en continu plus de 4 milliards de mots de passe compromis.
Aujourd’hui plus que jamais, il est crucial d’avoir une vision claire de la sécurité des mots de passe. Contactez-nous pour découvrir comment Specops Password Policy peut renforcer la protection de votre organisation.