Comment sécuriser les communications à l’ère du post-quantique ?

Auteur : Arnaud Dufournet, Chief Marketing Officer

Aux Assises de la cybersécurité 2022 à Monaco, TheGreenBow a animé un atelier sur le thème de la « Sécurisation des communications à l’ère du post-quantique ». Pour traiter ce thème, nous avons demandé à deux experts de la cryptographie quantique de se joindre à nous : Thomas Debris*, chercheur à l’Inria de Saclay et Florent Grosmaitre, CEO de CryptoNext Security. Pour ceux qui n’ont pas pu venir aux Assises nous voir ou pour ceux qui tout simplement s’intéressent au sujet, voici une synthèse des échanges que nous avons eus.

RSA, ce « dinosaure » de la cryptographie

L’atelier a commencé par rappeler que la majorité des systèmes de chiffrement actuels repose sur l’algorithme RSA du nom des ces trois inventeurs du MIT (Ronald Rivest, Adi Shamir et Leonard Adleman). Décrit en 1977, ce système cryptographique fondé sur le chiffrement à clé publique est le plus répandu pour sécuriser les données confidentielles transmises sur un réseau réputé non sûr comme l’internet public.

« RSA nous protège mais c’est aussi une épée de Damoclès »

Thomas Debris

C’est ce contexte qu’a tenu à introduire Thomas Debris avant d’évoquer les enjeux autour de la menace quantique. « RSA nous protège mais c’est aussi une épée de Damoclès » rappelle Thomas Debris.

Explications. De grands cryptographes remettent aujourd’hui en cause la confiance que nous avons en RSA. Pour quelle raison ? Simplement parce que la sécurité de RSA tient depuis plus de 40 ans. Certains pensent que « cela est un grand coup de chance », et qu’il ne faut pas tenir cela comme acquis. Dans le même ordre d’idée, Silicon.fr publiait en juin 2021 un article s’interrogeant sur la surutilisation d’un « dinosaure » dans nos réseaux.

La menace quantique et l’encryptoggedon

Il y a un terme qui résume assez bien l’enjeu derrière l’exploitation d’un ordinateur quantique, c’est l’encryptoggedon.

Certains signes ne trompent pas. Tout d’abord, les investissements dans le quantique. Il se sont accélérés ces dernières années et en particulier les investissements étatiques. La Chine et les Etats-Unis mènent la course. L’an passé, la France a lancé un plan d’investissement national de 1,8 milliards d’euros sur cinq ans (dont 150 M€ pour la cryptographie post quantique). Au printemps de cette année, l’OTAN a achevé les tests d’un premier VPN quantique. Ce qui prouve que l’organisation prend la menace très au sérieux. L’ANSSI de son côté a publié en début d’année une première prise de position, avec la recommandation d’établir un plan de transition vers l’utilisation d’algorithmes résistants au quantique. Le Forum économique mondial vient de publier un livre blanc avec Deloitte pour sensibiliser les entreprises sur les risques et les inciter à introduire de la cryptographie résistant au quantique dans leurs architectures de sécurité informatique. Enfin, l’UE vient d’annoncer le déploiement d’ordinateurs quantiques sur six sites illustrant ainsi « la volonté de déployer en Europe une infrastructure de supercalcul et d’informatique quantique de classe mondiale accessible dans toute l’UE » selon les mots de Margrethe Vestager, vice-présidente exécutive à la Commission Européenne.

Autres signaux tangibles, les Etats-Unis disent déjà constater des attaques de type « Harvest Now Decrypt Later attack » qui consistent à exfiltrer des données sensibles chiffrées dans l’espoir de les déchiffrer dans un avenir proche. Joe Biden a signé un Executive Order et deux mémorandums sur la sécurité nationale (NSM-8 et NSM-10) pour accélérer les initiatives visant à développer les capacités de résistance des Etats-Unis face aux attaques quantiques.

Le concours du NIST et le renouveau de la cryptographie

Face à cette menace, la résistance prend forme. La cryptographie actuelle s’appuie depuis des décennies sur des algorithmes fondés seulement sur deux problèmes mathématiques : le calcul du logarithme discret et la factorisation de nombres premiers. Le concours lancé par le NIST en 2016 a pour vertu d’amener de la diversité dans les problèmes mathématiques utilisés. En effet, les algorithmes présentés au concours se répartissent en cinq grandes familles de problèmes mathématiques :

« L’intérêt de cette diversité car c’est elle qui permet d’augmenter la robustesse et la sécurité »

Thomas Debris

Thomas Debris a insisté sur « l’intérêt de cette diversité car c’est elle qui permet d’augmenter la robustesse et la sécurité ». Elle présente aussi l’avantage de couvrir différents usages ; c’est-à-dire que certains algorithmes sont plus adaptés pour certains contextes et usages.

Sur le chemin du renouveau, une étape importante a été franchie cet été. Le 5 juillet dernier, Le NIST a annoncé les gagnants du son concours. Deux algorithmes résistants au quantique, basés sur les réseaux euclidiens structurés, ont été retenus pour la majorité des cas d’usage :

• CRYSTALS-Kyber, pour le chiffrement,
• CRYSTALS-Dilithium, pour les signatures

Deux autres algorithmes pour la signature électronique sont également retenus pour être standardisés : FALCON and SPHINCS.

Dans la foulée de cette annonce, le NIST a également ouvert un quatrième round pour retenir d’autres algorithmes et assurer une certaine variété.

Le NIST montre ainsi clairement la voie en matière de choix d’algorithmes résistants au quantique. Cependant, Thomas Debris fait observer des nuances notamment venant de la part d’agences de sécurité européennes comme l’ANSSI ou le BSI. Par exemple, l’ANSSI se dit « satisfaite » de ce choix mais insiste aussi sur le fait que cette liste n’est pas fermée et que d’autres algorithmes lui semblent aussi être prometteurs. C’est aussi l’avis du BSI (l’équivalent de l’ANSSI en Allemagne) qui recommande l’algorithme FrodoKEM qui faisait partie des algorithmes alternatifs présentés au troisième tour du concours du NIST.

Le voyage vers la résistance quantique commence maintenant

Les algorithmes résistants au quantique étant désignés, l’atelier a ensuite traité le sujet du passage à l’action en s’interrogeant d’abord sur les secteurs qui doivent agir maintenant.

Les plus concernés sont évidemment ceux qui gèrent des données secrètes et sensibles pour leurs activités et dont la durée de vie est longue. Le secteur de la Défense et de la Sécurité fait partie des premiers secteurs impactés. Les informations relatives à la conception d’un système d’armement (pour un sous-marin nucléaire par exemple) sont un bon exemple de données secrètes dont la durée de vie se compte en décennie. Mais il y a beaucoup d’autres exemples : dans le secteur de l’énergie (informations sur des infrastructures sensibles comme une centrale nucléaire), la finance (transactions bancaires), l’aéronautique, l’automobile ou encore la santé. Pour tous ces secteurs, la menace « Harvest Now, Decrypt Later » parfois aussi appelé, « Store now, Decrypt Later », est déjà effective.

Il est d’autant plus nécessaire de commencer le voyage qui va être long et semé d’embûches. Avec le concours du NIST, nous assistons à la naissance d’une nouvelle cryptographie que les professionnels de la sécurité informatique vont devoir s’approprier. C’est pourquoi il est impératif de démarrer le voyage maintenant !

Et 45% ont prévu dans les 12 prochains mois de mener une évaluation des vulnérabilités de leurs systèmes de chiffrement face à la menace quantique. Deloitte estimait ces chiffres encore insuffisants… Vus d’Europe, ils sont impressionnants tant nos entreprises semblent encore peu sensibles à la menace quantique.

Mais par où commencer ? Quatre actions indispensables à prendre ont été recommandées pendant l’atelier.

1. Faire l’inventaire de tous les systèmes comportant du chiffrement (PKI) : la première étape consiste à évaluer les risques et les prioriser. Cet état des lieux est incontournable pour démarrer car, dans ces circonstances, l’inconnu engendre des vulnérabilités.

2. Lancer des POC (proof of concept) : l’ANSSI incite fortement les organisations à réaliser des tests d’intégration d’algorithmes résistants au quantique et à se familiariser avec les nouveaux certificats hybrides. L’hybridation justement, recommandée par l’ANSSI, en quoi consiste-t-elle ? Il s’agit d’une transition graduelle, « en biseau », permettant d’accroitre progressivement la confiance dans les algorithmes résistants au quantique tout en évitant des régressions sur les niveaux de sécurité apportés par les algorithmes actuels. L’hybridation consiste donc à conjuguer les algorithmes post quantiques avec les algorithmes pré-quantiques. Ce qui implique des mécanismes hybrides d’établissement de clé ou de signature combinant les calculs d’un algorithme à clé publique pré-quantique éprouvé et d’un algorithme post-quantique supplémentaire.

3. Construire un plan de transition : c’est le troisième élément indispensable du voyage. En fonction des risques identifiés, il s’agit de définir les priorités sur les systèmes devant être capables d’accepter les CA (autorités de certification) post quantiques. L’ANSSI recommande ici une transition en trois phases :

Phase 1 : elle démarre dès aujourd’hui et a pour objectif de mettre en œuvre une « défense en profondeur » post-quantique supplémentaire à l’assurance de sécurité pré-quantique.

Phase 2 : phase qui doit démarrer théoriquement à partir de 2025. L’hybridation doit offrir une assurance de sécurité post-quantique en évitant toute régression de sécurité pré-quantique. A ce stade, le déploiement d’une cryptographie résistante au quantique est obligatoire.

Phase 3 : après 2030, l’hybridation devient optionnelle. Les algorithmes résistants au quantique seront alors considérés comme suffisamment robustes pour que les algorithmes actuels soient écartés définitivement.

4. Conduire le changement : dernier élément primordial pour démarrer le voyage, la conduite du changement commence par une sensibilisation accrue des équipes de sécurité et des équipes IT. Cet élément n’est pas à sous-estimer. D’une part, les équipes sont déjà très occupées à parer les menaces actuelles. Leur demander de concevoir les systèmes de défense permettant de se protéger d’une menace dont on ne voit pas encore le visage, est un exercice compliqué. Et d’autre part, la migration vers des systèmes de chiffrement résistants au quantique suppose de bien comprendre le fonctionnement des nouveaux algorithmes et les cas d’usage pour lesquels ils sont les plus pertinents.

Quelles sont les évolutions à attendre pour les clients VPN TheGreenBow ?

Les éditeurs de logiciels sont évidemment des parties prenantes du voyage. Ils doivent aussi prendre le virage de la cryptographie post-quantique.

En tant que pionnier des technologies VPN, TheGreenBow se doit d’être en pointe sur la cryptographie post-quantique. C’est la raison pour laquelle nous avions annoncé en début d’année que TheGreenBow orientait une partie de ses investissements et de ses ressources sur ce domaine.

Le principal défi que doivent relever les éditeurs de logiciels de chiffrement, est celui de la crypto-agilité. A l’ère du quantique, la garantie d’un haut niveau de sécurité passe par la capacité, pour les systèmes de chiffrement, à utiliser différents algorithmes … mais aussi d’en changer très rapidement en cas de vulnérabilités avérées, sans avoir à redéployer une nouvelle version du logiciel VPN.

L’impact sur le développement de nos Clients VPN et les mécanismes de mise à jour est donc très conséquent. C’est sur ce point en particulier que TheGreenBow investit pour développer ses premiers Clients VPN résistants au quantique.

Proposer des solutions opérationnelles mettant en œuvre la crypto-agilité implique également que TheGreenBow intègre la variété des nouveaux algorithmes post quantiques dans ses Clients VPN. C’est tout l’enjeu du partenariat avec CryptoNext Security qui conclue la troisième partie de l’atelier.

Le partenariat avec CryptoNext Security

TheGreenBow est convaincu que la construction de solutions de cybersécurité résistantes au quantique passe par la combinaison des savoir-faire et des expertises de l’écosystème. C’est la raison pour laquelle nous avons souhaité finir l’atelier par un exemple de collaboration réussie entre deux acteurs français.

Représentée par Florent Grosmaitre son CEO, CryptoNext Security est une start-up créée en 2019 qui édite une solution de cryptographie résistante aux attaques quantiques. Elu lauréat de la 17è édition du Prix de l’Innovation des Assises de la Cybersécurité pour sa solution de cryptographie, CryptoNext Security propose une librairie intégrant l’ensemble des algorithmes résistants au quantique en cours de standardisation.  Nativement hybrides et crypto-agiles conformément aux recommandations des agences de sécurité, les solutions de CryptoNext Security sont très complémentaires avec les logiciels VPN de TheGreenBow.

Ce partenariat technologique permet de répondre aux enjeux d’hybridation et de crypto-agilité évoqués précédemment. Autre intérêt de ce partenariat relevé par Florent Grosmaitre « proposer une offre souveraine avec du code développé en France ». Enfin, Florent a mis en avant un dernier intérêt « l’association Start-up / PME agile qui permet d’être réactif pour répondre à la demande du marché ».

« Proposer une offre souveraine avec du code développé en France »

Florent Grosmaitre

Cette demande justement, commence à se développer notamment dans le secteur de la finance. CryptoNext Security et TheGreenBow ont ainsi pu mettre en action leur partenariat pour réaliser ensemble un premier POC pour la Banque de France. Ce projet a permis de valider la mise en place d’un VPN hybride post-quantique pour l’échange de données sensibles. Un retour d’expérience de ce projet a d’ailleurs fait l’objet d’un autre atelier animé par CryptoNext Security aux Assises.

L’atelier s’est conclu sur la maturité du marché et la vision de CryptoNext Security à ce sujet. Florent Grosmaitre a confirmé que « la sensibilisation progresse très vite sous l’influence des agences de sécurités internationales comme la NSA, l’ANSSI ou le BSI ». L’ENISA vient à son tour de publier ses recommandations pour commencer à déployer des algorithmes résistants au quantique. Au passage, Florent Grosmaitre a fait observer que « l’actualité se focalisait beaucoup sur la bataille pour le choix des algorithmes mais qu’en coulisse, une autre bataille se jouait sur les protocoles. »

Le sujet est en train de dépasser le stade de la curiosité pour progresser vers un stade plus opérationnel. Une dimension plus industrielle succède à la phase de recherche scientifique. Il reste cependant encore beaucoup à faire en matière d’information et notamment sur la compréhension de la menace, du fonctionnement de la cryptographie post-quantique et des enjeux de migrations et d’adaptation des PKI.

Pour approfondir un sujet ou démarrer un projet, vous pouvez soit prendre contact avec nous, soit lire notre livre blanc sur la cryptographie post-quantique.

*Chargé de recherche à l’Inria dans le domaine de la cryptographie, Thomas Debris a obtenu sa thèse à l’Inria en 2019 pour laquelle il a obtenu le prix de thèse Gilles Kahn. Ses travaux de chercheur concernent principalement la cryptographie post-quantique, en particulier la conception de signatures digitales mais aussi les attaques contre les schémas se réclamant à sécurité post-quantique. Thomas enseigne également l’algorithmique quantique à l’école Polytechnique.

Lire le livre blanc

Un projet ? Discutons ensemble !