Accueil // Ressources // Blog // ML-KEM : le premier standard post-quantique à connaître pour préparer votre transition
Blog

ML-KEM : le premier standard post-quantique à connaître pour préparer votre transition

Publié le 21/4/2026

Auteur : Arnaud DUFOURNET, Directeur Marketing & Expérience Client

En août 2024, le NIST a officiellement standardisé le premier algorithme post-quantique destiné à la protection des échanges de clés. Anciennement connu sous le nom de CRYSTALS-Kyber, il s’appelle désormais ML-KEM et est défini dans le standard FIPS 203. Voici ce que tout RSSI doit savoir pour préparer la transition vers la PQC.

A l’origine, un concours mondial pour sauver la cryptographie

En 2016, face à la menace quantique, le National Institute of Standards and Technology (NIST) américain a lancé un concours mondial pour sélectionner les algorithmes capables de résister à ces nouvelles machines exploitant les propriétés quantiques des particules. 82 candidats provenant du monde entier ont été soumis. Après sept ans d’évaluation intense par la communauté cryptographique internationale, seule une poignée a survécu.

CRYSTALS-Kyber a été conçu par une équipe internationale d’experts : Roberto Avanzi (ARM), Joppe Bos (NXP), Léo Ducas (CWI Amsterdam), Eike Kiltz (Ruhr-Universität Bochum), Tancrède Lepoint (Google), Vadim Lyubashevsky (IBM Research), John M. Schanck, Amin Shokrollahi, Gregor Seiler et Damien Stehlé. Ce dernier est français, chercheur à l’ENS Lyon — une fierté nationale dans un concours à l’échelle planétaire.

Standardisé en août 2024 sous la référence FIPS 203 et rebaptisé ML-KEM (Module Lattice-based Key Encapsulation Mechanism), cet algorithme est aujourd’hui la référence mondiale pour sécuriser les échanges de clés dans un monde post-quantique.

Le problème mathématique : des équations dans un brouillard

ML-KEM repose sur un problème mathématique appelé « Module Learning With Errors » (Module-LWE). Voici une analogie concrète pour le comprendre.

Imaginez que je vous donne 1 000 équations très simples, du genre « 3a + 7b + 2c = 42 ». En mathématiques, avec suffisamment d’équations, vous pouvez retrouver les valeurs de a, b et c. Maintenant, imaginez que j’ajoute dans chaque équation une petite erreur aléatoire — disons, quelques unités en plus ou en moins. Ces erreurs semblent infimes, mais elles rendent le problème quasi-impossible à résoudre : vous ne savez plus si la solution que vous trouvez est la vraie ou si c’est l’effet du bruit. C’est exactement le principe du LWE : cacher un secret dans un bruit maîtrisé.

Concrètement, lors d’un échange chiffré, ML-KEM génère une clé secrète, la dissimule dans ce brouillard d’équations bruités, et seul le détenteur de la clé privée peut « enlever » le bruit et retrouver le secret. Toute autre tentative, même avec une puissance de calcul colossale, se heurte à un problème considéré comme computationnellement insurmontable.

Pourquoi un ordinateur quantique ne peut pas le casser ?

Les algorithmes classiques comme RSA ou ECDH reposent sur des problèmes — factorisation de grands nombres ou logarithme discret — que l’algorithme de Shor, exécuté sur un ordinateur quantique suffisamment puissant, peut résoudre dans des temps raisonnables. Ces algorithmes sont condamnés à terme. C’est pourquoi le NIST recommande de les abandonner au plus tard en 2030.

ML-KEM est construit sur une base radicalement différente. Ni l’algorithme de Shor ou de Grover, ni aucun autre algorithme, ne permettent de résoudre le problème Module-LWE. Autrement dit : même un ordinateur quantique disposant de millions de qubits se retrouve face à un mur. C’est précisément ce que la communauté cryptographique a vérifié pendant sept ans d’analyse intensive dans le cadre du concours NIST.

Pourquoi ML-KEM a été retenu en premier par le NIST ?

Le NIST a évalué chaque finaliste sur trois critères principaux : la sécurité mathématique, les performances en pratique, et la facilité d’intégration dans les systèmes existants. ML-KEM s’est imposé car il combine :

  • Une sécurité rigoureusement démontrée, avec plusieurs niveaux paramétrables (ML-KEM-512, 768 et 1024) adaptés à différents besoins.
  • Des performances excellentes : génération de clés, encapsulation et décapsulation en quelques microsecondes sur du matériel courant.
  • Des tailles de clés raisonnables : une clé publique ML-KEM-768 fait environ 1 184 octets — compatible avec les protocoles réseau actuels comme TLS.
  • Une conception propre et bien documentée, facilitant les audits et les implémentations sécurisées.
AVANTAGESINCONVENIENTS
Résistance prouvée aux attaques quantiquesClés plus grandes qu’en RSA (mais gérables)
Performances proches des algorithmes classiquesAlgorithme récent : recul opérationnel encore limité
Trois niveaux de sécurité (512 / 768 / 1024 bits)Nécessite une mise à jour des bibliothèques cryptographiques
Standard NIST officiel (FIPS 203, publié en août 2024)Complexité d’intégration dans les PKI existantes
Déjà intégré dans AWS, Google, Signal, Apple…Pas encore de certification ANSSI à ce jour (en cours)

Déjà adopté par les géants du numérique

Progressivement la cryptographie post-quantique est déployée silencieusement. ML-KEM est ainsi déjà utilisé en production par les acteurs majeurs de l’industrie :

  • Apple : annoncé dans iMessage avec le protocole PQ3, offrant une protection post-quantique des conversations.
  • Amazon Web Services (AWS) : intégré dans AWS Key Management Service et les connexions TLS de ses services cloud.
  • Google : déployé dans Chrome et dans les connexions vers ses serveurs depuis 2023, via le protocole hybride X25519Kyber768.
  • Signal : a introduit PQXDH (Post-Quantum Extended Diffie-Hellman) basé sur Kyber/ML-KEM pour sécuriser l’établissement des sessions.
  • Cloudflare : expérimente et déploie ML-KEM dans ses handshakes TLS 1.3 pour des millions de connexions quotidiennes.
  • IBM, Microsoft et les principales bibliothèques open-source (OpenSSL 3.x, liboqs) : intègrent ML-KEM dans leurs offres.

2027 : la PQC devient l’état de l’art en France

La transition vers la cryptographie post-quantique n’est plus une option : c’est une obligation réglementaire qui se profile. L’ANSSI a clairement annoncé qu’elle n’acceptera plus en certification des produits embarquant de la cryptographie non résistante aux attaques quantiques à partir de 2027.

Ce que cela signifie concrètement : tout produit de sécurité — VPN, HSM, passerelle de chiffrement, solution de messagerie sécurisée — qui visera une certification ANSSI (CSPN ou Critères Communs) devra obligatoirement intégrer des algorithmes post-quantiques comme ML-KEM. Les appels d’offres publics en sécurité commencent déjà à intégrer cette exigence.

À l’échelle internationale, la dynamique est identique : le mémo NSA (États-Unis), la directive NIS2 (Europe), et les recommandations BSI (Allemagne) convergent toutes vers la même exigence. La cryptographie post-quantique est en train de devenir le nouvel état de l’art mondial.

La date de 2027 donne un cadre réglementaire mais la menace, elle, n’a pas attendu. Le « Harvest Now, Decrypt Later » est déjà une réalité ; des acteurs malveillants collectent des communications chiffrées avec l’intention de les déchiffrer demain, lorsque les ordinateurs quantiques seront suffisamment puissants. Les données sensibles à longue durée de vie — secrets industriels, données médicales, informations classifiées (par exemple la conception de notre futur porte-avion France Libre) — sont les cibles de ces attaquants.

La transition prendra du temps parce que la cryptographie est partout, souvent invisible, et souvent profondément imbriquée dans des chaînes de confiance. Migrer ne veut pas dire “remplacer un algorithme”, mais inventorier et prioriser puis tester et hybrider puis enfin déployer, surveiller et reconfigurer des écosystèmes entiers. Les organisations qui commencent aujourd’hui auront le choix de la méthode. Celles qui attendent n’auront plus que le choix de la vitesse.

Retour à la liste

Inscrivez-vous à notre newsletter

S’inscrire