Blog

Menace quantique sur nos signatures : comment le NIST prépare la riposte

Auteur : Arnaud DUFOURNET, Directeur Marketing & Expérience Client

Du Q-Day le 9 juin dernier à France Quantum le 16 juin, en passant par les conférences stratégiques d’EuroSatory et de VivaTech, la thématique de la menace quantique a traversé tous les cercles de la tech et de la défense ces dernières semaines. L’ordinateur quantique n’est plus une lointaine hypothèse pour physiciens ; c’est une réalité en marche et une urgence de sécurité nationale et industrielle qui s’impose désormais à l’agenda de tous les grands sommets.

Si cette rupture technologique promet des révolutions majeures, elle fait surtout peser un risque existentiel sur le pilier invisible de notre confiance moderne : la signature électronique.

Derrière ce mécanisme mathématique se cache la clé de voûte de notre monde interconnecté. C’est la signature électronique qui valide et authentifie tout aujourd’hui : des mises à jour logicielles de nos infrastructures critiques aux transactions bancaires, en passant par les contrats numériques et les connexions TLS (HTTPS) de nos sites web. Si ces signatures venaient à être falsifiées par la puissance d’un ordinateur quantique, c’est toute l’intégrité de nos échanges, la traçabilité de nos documents officiels, l’authenticité de nos identités et la souveraineté de nos entreprises qui s’effondreraient.

Pourquoi le NIST prolonge-t-il le concours ?

C’est pour conjurer ce scénario que le NIST (National Institute of Standards and Technology) mène un marathon mondial depuis 2016 pour standardiser la cryptographie post-quantique (PQC). Si un premier bloc d’algorithmes a déjà été validé (comme ML-DSA), le NIST continue de chercher des alternatives pour diversifier les lignes de défense.

Le processus vient d’ailleurs de franchir une étape cruciale avec l’annonce officielle du passage au Round 3 de ce concours de signatures additionnelles. Le 14 mai dernier, le NIST a annoncé les résultats du Round 2 : sur les 14 algorithmes encore en course, 9 candidats ont été retenus.

On pourrait se demander : pourquoi continuer à chercher alors que le NIST a déjà standardisé des algorithmes de signature comme ML-DSA (FIPS 204) ? La réponse tient en deux mots : diversité et agilité.

Deux des trois standards PQC sélectionnés (FALCON et DILITHIUM) reposent sur les réseaux euclidiens (lattices en anglais). Le NIST souhaite cependant éviter de répéter l’erreur du modèle actuel, dont la dépendance critique envers la factorisation d’entiers fragilise l’ensemble du chiffrement mondial.

L’objectif de ce concours de signatures additionnelles est donc de trouver des alternatives robustes basées sur d’autres concepts mathématiques, tout en recherchant des compromis plus avantageux en termes de taille de clé et de signature pour nos protocoles web (TLS, SSH, DNSSEC).

Avantages et Inconvénients des 9 rescapés du Round 3

Ces 9 candidats se répartissent en 4 grandes familles mathématiques, chacune présentant des compromis de performance spécifiques.

D’abord, la famille des isogénies (représentée par SQIsign) offre l’avantage de clés et de signatures extrêmement compactes (une signature peut ne mesurer que 148 octets au niveau de sécurité 1), mais présente l’inconvénient de calculs très lourds et d’une vitesse d’exécution lente.

À l’inverse, la famille des réseaux euclidiens (représentée par HAWK) se distingue par sa rapidité et un excellent équilibre de performance générale, bien que la taille de ses signatures reste moyenne.

La famille multivariée (la plus nombreuse avec MAYO, QR-UOV, SNOVA et UOV) propose des signatures ultra-courtes et des vérifications très rapides, mais souffre de clés publiques très volumineuses.

Enfin, la famille basée sur les primitives symétriques et le MPC-in-the-Head (regroupant FAEST, MQOM et SDitH) s’appuie sur des hypothèses de sécurité très robustes, mais elle paie ce conservatisme par une grande complexité de mise en œuvre et des besoins en ressources de calcul plus importants que les standards primaires.sont donc des proies idéales : elles sont encore jeunes, complexes, et déployées par des équipes qui manquent parfois de recul

Sur quels critères le NIST évalue-t-il les candidats ?

Le choix du NIST ne repose pas uniquement sur la beauté des mathématiques. Pour passer au niveau supérieur, les candidats sont passés au crible selon trois critères stricts :

  • Les performances matérielles : la consommation de mémoire, la vitesse de signature et la charge CPU sur différents types de puces (des serveurs cloud aux objets connectés) sont également des critères de sélection.
  • La sécurité théorique et pratique : il faut une résistance éprouvée face aux attaques de cryptanalyse publique menées par la communauté internationale ces 18 derniers mois.
  • L‘adéquation avec les protocoles Internet : le comportement de l’algorithme lorsqu’il est intégré dans des architectures de production réelles comme TLS, SSH, IPsec ou DNSSEC est évalué. Si une clé publique est trop volumineuse pour un paquet TCP standard, l’algorithme perd des points.

À noter que les signatures multivariées ont été fragilisées par des attaques récentes. Les équipes de UOV, MAYO et SNOVA ont été forcées de revoir leurs paramètres de sécurité, montrant ainsi que certains schémas ne sont pas encore totalement stables. Le NIST a d’ores et déjà prévenu qu’ils subiraient un calendrier d’évaluation beaucoup plus long et qu’ils ne seraient pas standardisés à l’issue de ce troisième tour.

Enfin, il est également intéressant d’observer que des solutions spécialisées émergent pour l’IoT et les contraintes de bande passante :

  • Pour les environnements réseau contraints (ex. : protocoles TLS) : le candidat SQIsign propose la plus petite taille combinée de clés et de signatures. S’il confirme sa sécurité, il deviendra un candidat idéal pour remplacer RSA ou l’ECC sans saturer la bande passante réseau.
  • Pour les systèmes embarqués et l’IoT : le candidat HAWK se distingue en utilisant exclusivement l’arithmétique entière (sans virgule flottante) tout en générant des signatures plus petites que le standard actuel FALCON. Au niveau de sécurité 1, une signature HAWK ne pèse que 555 octets. C’est une excellente option à anticiper pour la sécurisation des microcontrôleurs et des objets connectés industriels.

L’urgence de la crypto-agilité

Les candidats ont jusqu’au 14 août 2026 pour soumettre des ajustements mineurs. L’analyse approfondie des candidats du Round 3 devrait durer environ deux ans, nous menant jusqu’à l’horizon mi-2028. À l’issue de cette phase, le NIST désignera les grands gagnants qui viendront enrichir officiellement les standards FIPS de signature électronique.

Le prochain grand rendez-vous sera la 7e conférence de standardisation PQC que le NIST organisera à la fin du printemps ou au début de l’été 2027 dans le Maryland pour débattre des avancées. Pour les entreprises et les RSSI, le mot d’ordre est clair : il ne faut pas attendre 2028 pour agir. L’implémentation de solutions crypto-agiles (capables de changer d’algorithme de chiffrement ou de signature par simple configuration) est indispensable dès aujourd’hui pour accueillir sereinement ces futurs boucliers post-quantiques. C’est précisément à cet enjeu que le projet RESQUE, auquel participe TheGreenBow, répond dans le cadre de la stratégie nationale quantique.


Pour tout savoir sur les conclusions du Round 2 : https://nvlpubs.nist.gov/nistpubs/ir/2026/NIST.IR.8610.pdf

Inscrivez-vous à notre newsletter