Frénésie quantique : comment l'informatique quantique impactera-t-elle la cybersécurité ?
La démocratisation de l'informatique quantique fait encore face à de nombreux obstacles, dont l'instabilité des qubits (qui doivent être isolés pour assurer leur cohérence), la difficulté d'employer des portes quantiques à grande échelle, ainsi qu'un manque de talents qualifiés dans le domaine.
L'informatique quantique promet une explosion de la puissance de calcul qui pourrait changer la face de l'économie, de la sécurité et de la santé à l'échelle mondiale. Avec le potentiel de révolutionner toutes sortes de secteurs, des services financiers jusqu'à l'aérospatial en passant par l'industrie pharmaceutique, les investissements privés et publics dans le domaine s'intensifient.
Cette puissance de calcul attise de nombreuses convoitises, et notamment celle des cybercriminels. Les outils de cryptage les plus communs ne pourront jamais tenir tête à des hackeurs armés d'informatique quantique. Certains d'entre eux sont déjà en train de collecter des données chiffrées pour pouvoir les décoder dès qu'ils auront les outils pour le faire.
Le super-héros Ant-man n'est plus le seul à devoir s'inquiéter du monde quantique : les Responsables de la Sécurité des Systèmes d'Informations (RSSI) doivent également commencer à se préparer dès aujourd'hui à ces nouvelles menaces.
En quoi se distingue l'informatique quantique ?
La physique quantique s'occupe de l'infiniment petit : le comportement de la matière et de l'énergie aux niveaux atomiques et subatomiques. L'informatique quantique en applique les principes aux technologies de l'information.
Là où l'informatique classique est fondée sur des bits binaires, l'informatique quantique utilise des bits quantiques ou « qubits ». Comme un bit, le qubit peut contenir les valeurs 1 ou 0, mais il peut également superposer ces deux états. Une autre qualité importante est l'intrication quantique, qui signifie qu'au moins deux qubits peuvent être imbriqués de sorte à ce qu'un changement de l'un d'eux affectera l'autre, même si ces deux qubits sont à des années-lumière de distance l'un de l'autre.
Repenser le cryptage de données à l'aune de l'informatique quantique
Si cela semble un peu complexe, il n'y a pas lieu de s'inquiéter. Un ordinateur quantique peut se décrire comme un outil ultra-spécialisé qui permet de résoudre certains problèmes plus rapidement que les ordinateurs normaux.
Malheureusement, l'un de ces « problèmes » est le format de chiffrement de données utilisé actuellement. Chiffrer implique des fonctions mathématiques qui rendent le chiffrement facile et le déchiffrement difficile à moins d'avoir les données utilisées pour le chiffrement, ce qu'on appelle la « clé ».
Avec un ordinateur classique, déchiffrer des données sans cette clé pourrait prendre des milliards d'années, mais avec une machine quantique, le chiffrement RSA, la méthode de chiffrement la plus commune, pourrait être déjouée bien plus rapidement. Cela pourrait saper les fondations mêmes de la cybersécurité moderne.
Les gouvernements se préparent, les entreprises doivent en faire de même
Les cyberattaques basées sur l'informatique quantique, ne sont pas encore imminentes. La démocratisation de l'informatique quantique fait encore face à de nombreux obstacles, dont l'instabilité des qubits (qui doivent être isolés pour assurer leur cohérence), la difficulté d'employer des portes quantiques à grande échelle, ainsi qu'un manque de talents qualifiés dans le domaine.
Ça ne veut pas pour autant dire qu'il faut se reposer sur ses lauriers. Il faut reconnaître qu'il nous faudra du temps pour protéger nos organisations contre les menaces quantiques, c'est ce qu'a fait la loi américaine fin 2022 en demandant aux agences gouvernementales de concevoir et d'implémenter un plan de migration des infrastructures informatiques pour les préparer au chiffrement quantique. Les cybermenaces sont aussi l'un des enjeux majeurs qui anime encore le forum quantique de Standards Australia.
De plus, les données très sensibles et durables telles que les dossiers médicaux ou bancaires, pourraient être collectées maintenant dans le but d'être déchiffrées plus tard.
Les multinationales ont également compris les risques qu'elles encouraient et ont commencé à multiplier et imbriquer les procédures et les technologies pour renforcer les mesures de cryptographie actuelles et protéger leurs données sensibles et leurs systèmes critiques contre ces menaces.
Anticiper l'ère quantique
Il ne sera pas facile de passer à des mesures de sécurité post-quantiques, les organisations devront mener des audits précis et prioriser leurs systèmes et données affectées, afin de créer un plan de migration précis. Commencer cette transition dès maintenant n'est pas seulement la meilleure solution à long terme, c'est aussi une mesure de sécurité contre les risques actuels et futurs. Cela passe notamment par :
Identifier les normes de cybersécurité et de protection des données, comme le processus de Standardisation du cryptage post-quantique du NIST, et en restant à l'affût de nouvelles transformations du milieu :
> Mener un audit des ressources essentielles à son activité pour indiquer où les données sont stockées, qui y a accès, quels systèmes communiquent avec ces ressources, comment elles sont chiffrées, et combien de temps elles prendront avant d'être protégées
> Mettre à jour les plans de réponse aux incidents et plans stratégiques pour qu'ils prennent en compte les menaces de « l'ère quantique »
Si « l'informatique quantique » paraît lointaine et mystérieuse, elle constitue une véritable menace de cybersécurité. Des attaques encore impossibles ou strictement théoriques avec les moyens d'aujourd'hui seront soudainement bien réels. Les organisations doivent donc commencer à se préparer dès à présent.
Nous avons tous vu à quelle vitesse l'innovation de OpenAI a changé la donne dans les IAs et le cloud computing en général.
L'informatique quantique, un outil pour les RSSI comme les hackers
L'informatique quantique apportera également son lot d'opportunités positives en matière de cybersécurité. Des outils de cybersécurité quantiques offriraient une bien meilleure protection que leurs équivalents classiques.
Par exemple, la plateforme Quantum Origin de Quantinuum utilise le comportement propre aux informatique quantique pour créer des clés de cryptages encore plus résilientes en exploitant les lois de la physique quantique. En utilisant dès maintenant cette technologie, les entreprises peuvent empêcher les cybercriminels d'exploiter des clés de cryptage faibles pour accéder aux systèmes et aux données chiffrées.
Une autre technologie qui utilise la physique quantique, la Distribution Quantique de clé (Quantum Key Distribution ou QKD), permet à deux partis d'échanger des clés de chiffrement en toute sécurité sans risquer d'intrusion sur la connexion. Toute tentative d'observer l'échange de l'extérieur déstabiliserait le système quantique et arrêterait l'échange. La distance maximale de QKD est encore limitée, mais les chercheurs travaillent à en augmenter les limites en ce moment même.
Enfin, l'informatique quantique pourrait révolutionner le machine learning en permettant le traitement de volumes de données d'un tout autre ordre de grandeur. Les outils de détection et de réponse pourraient ainsi devenir encore plus rapides et plus sophistiqués.
Les organisations doivent se préparer à l'informatique quantique
L'informatique quantique n'en est qu'à ses débuts. On ne connaît pas encore l'étendue des transformations qu'elle provoquera, ou à quelle vitesse l'informatique quantique sera adoptée dans le monde professionnel, ni même dans la sphère criminelle.
Mais si l'informatique quantique va transformer les méthodes de chiffrement actuelles, elle permet déjà des innovations de cybersécurité qui aideront les migrations qui nous protégeront à l'avenir de menaces de plus en plus sophistiquées.
Les RSSI qui se préparent dès maintenant, en mesurant leurs risques et les technologies qui les aideront à consolider leurs défenses, seront les mieux placés pour limiter les dégâts de ces nouveaux risques.
Sur le même thème
Voir tous les articles Cybersécurité