Casser la cryptographie : Sécuriser les identités machine dans un monde post-quantique
Nous sommes arrivés à un point tournant en matière d'informatique quantique. Avec elle, l'informatique quantique, " un type d'informatique non classique basé sur l'état quantique des particules subatomiques " selon Gartner, a évolué de la théorie à la réalité. Quelles sont donc les répercussions en termes de sécurité ?
Préparez-vous à l'informatique quantique
L'essor de l'informatique quantique ouvre de nouvelles perspectives de sécurité, en particulier quant à la cryptographie quantique, que les experts estiment impossible à casser. L'informatique quantique se fonde sur les bits quantiques (qubits), qui, contrairement aux bits binaires de l'informatique conventionnelle, peuvent représenter simultanément différentes valeurs : un algorithme ne pourrait jamais prédire le véritable caractère aléatoire des qubits. Par conséquent, la prochaine génération quantique d'identités machine, à savoir le système cryptographique de clés et de certificats assurant les communications sécurisées entre machines, pourrait être impiratable.
De surcroît, dans un monde post-quantique, les attaques « man in the middle » pourraient être entièrement éradiquées grâce à la méthode de cryptographie quantique la plus connue : la distribution de clés quantiques (QKD). Celle-ci permet de transporter des qubits d'information via des signaux lumineux, par exemple au moyen de câbles en fibre optique. Ces signaux sont très sensibles aux perturbations. C'est pourquoi si un ennemi tente d'accéder aux informations chiffrées, il n'y parviendra pas et l'utilisateur pourra être alerté. La popularisation croissante de l'informatique quantique apporte donc des avantages indéniables.
Les entreprises doivent également prendre conscience des risques posés par cette technologie pour les professionnels de la sécurité. D'une part, l'informatique quantique affaiblira la sécurité des méthodes de chiffrement servant actuellement à valider l'identité des machines communiquant mutuellement sur un réseau. Alors que les ordinateurs d'aujourd'hui nécessitent des dizaines, voire des milliers d'années pour calculer le nombre premier utilisé pour créer une clé cryptographique, l'informatique quantique est en mesure de réduire ce délai à quelques minutes. C'est pourquoi l'infrastructure à clé publique (PKI) et les signatures numériques qui dépendent des algorithmes cryptographiques cesseront d'être sûres. Cela pourrait se produire plus tôt que prévu. En effet, une étude estime qu'un ordinateur quantique fonctionnel serait capable de casser nos normes cryptographiques actuelles d'ici 2028.
L'informatique quantique fait donc courir des risques aux identités machine s'appuyant sur les normes cryptographiques d'aujourd'hui. Qu'il s'agisse de transmettre un paiement à un commerçant, d'accéder à un compte bancaire de manière sécurisée ou de recevoir un message sur son smartphone, n'importe quelle information sécurisée par un chiffrement sera à disposition des acteurs détenant la puissance de l'informatique quantique. Les informations actuelles seront vulnérables, tout comme les anciennes données chiffrées. Toutes les entités, notamment les États-nations, qui ont consulté et stocké des données chiffrées avant l'informatique quantique auront la voie libre pour les déchiffrer et les utiliser selon leur bon vouloir.
Une sécurité à l'épreuve de l'informatique quantique
Que doivent faire les équipes de sécurité pour se protéger ? Un premier pas important consiste à confirmer que vous connaissez les identités machine que vous détenez, leur emplacement, leur degré de sécurité ainsi que leur incidence sur vos applications, produits et systèmes. Vous serez ainsi en mesure d'affronter une situation lors de laquelle un algorithme de sécurité serait cassé en ayant conscience de ses répercussions sur vos activités et en disposant d'une feuille de route visant à remédier à la menace afin de limiter votre exposition.
Compte tenu de la vitesse de fonctionnement des machines, l'automatisation est essentielle à la sécurité des identités machine alors que la menace de l'informatique quantique guette. L'automatisation permettra aux organisations de détecter l'emplacement de leurs identités machine et de les sécuriser afin de résister à l'informatique quantique en cas de vulnérabilité ou de piratage. Face à la sophistication rapide des avancées technologiques dans le monde post-quantique, l'automatisation sera plus que jamais vitale. La capacité à tenir à jour votre cryptographie constituera le seul moyen d'assurer votre sécurité en vous adaptant au rythme de vos adversaires et en protégeant votre entreprise contre les capacités de l'informatique quantique.
Lors de la migration de votre sécurité en prévision du monde post-quantique, vous aurez la possibilité d'adopter une cryptographie résistante à l'informatique quantique. Les méthodes actuelles de cryptographie s'appuyant notamment sur les réticules et les hachages sont jugées impiratables, même par les ordinateurs quantiques. Le recours à ces méthodes de cryptographie avant-gardistes peut aider les entreprises à se préparer à l'avenir.
L'informatique quantique approche
L'informatique quantique est encore loin d'être répandue. À l'heure actuelle, les ordinateurs quantiques les plus puissants peuvent gérer seulement 72 qubits, une valeur bien inférieure à celles des clés cryptographiques d'aujourd'hui. Cependant, le vice-président senior des logiciels cloud et cognitifs d'IBM a prévu que les ordinateurs quantiques se démocratiseront au cours des cinq prochaines années. Même d'après les estimations les plus conservatrices de Deloitte, les premiers ordinateurs quantiques grand public polyvalents sont attendus d'ici les années 2030. Un monde post-quantique est déjà en vue.
À l'instar des précédentes normes cryptographiques, les organisations tardent parfois à se mettre à jour. Suite aux avertissements d'origine concernant la vulnérabilité de la norme SHA-1 en 2005, celle-ci a officiellement été rendue obsolète par le NIST en 2011 puis cassée en 2017. Malgré cela, plus de 33 millions de sites Web d'accès public continuent à employer cette technologie. À nouveau, les organisations ne peuvent pas se permettre d'être négligentes, car elles doivent déterminer comment pérenniser leur sécurité dans un monde post-quantique. Il est vital qu'elles se préparent dès aujourd'hui, car le futur surviendra bien trop rapidement. Les personnes qui ignorent les graves répercussions de sécurité de l'avenir quantique font courir des risques à l'ensemble de leurs sociétés. Seules la préparation et l'automatisation peuvent nous permettre d'accompagner notre migration vers la cryptographie résistante à l'informatique quantique et assurer notre protection face aux avancées futures de cette technologie.