Chronologie des menaces quantiques : comment se préparer réellement au chiffrement post-quantique

Quand les ordinateurs quantiques pourront-ils déchiffrer nos données ? Cette question fait l’objet de débats depuis des années, mais les prévisions apocalyptiques manquent souvent de bases techniques solides. La vérité exige une compréhension plus nuancée : la menace existe, mais son horizon et sa gravité dépendent du type de chiffrement dont nous parlons. L’article original d’un chercheur d’a16z aborde ce sujet à travers la réalité technique plutôt que par des promesses marketing.

Délais réels : le quantum va-t-il bientôt casser nos chiffres ?

La première chose à comprendre : les affirmations selon lesquelles les ordinateurs quantiques casseront la cryptographie d’ici 2030 ne reposent pas sur des avancées concrètes dans le domaine. Les chercheurs soulignent la différence fondamentale entre ce que déclarent les entreprises et ce qui se passe réellement dans les laboratoires.

Pour déchiffrer un chiffrement moderne (comme RSA-2048 ou secp256k1), un ordinateur quantique doit disposer de capacités de correction d’erreurs, d’un nombre suffisant de qubits logiques et d’une fiabilité suffisante des portes. À l’heure actuelle, personne n’a atteint cela. Des systèmes avec 1000 qubits physiques paraissent impressionnants sur le papier, mais sans la fiabilité et les connexions nécessaires, ils restent principalement des prototypes.

Les principales sources de malentendus :

« L’avantage quantique » n’est pas la même chose que la utilité pratique. Lorsqu’une entreprise annonce avoir atteint « un avantage quantique », elle montre souvent des tâches spécialement conçues, qui s’exécutent plus vite sur leur machine que sur un ordinateur classique. Mais ces tâches n’ont pas d’application pratique directe.

Des milliers de qubits — ce n’est pas suffisant. La majorité des annonces de « milliers de qubits » concernent le « quantum annealing » et non le modèle universel de calcul quantique nécessaire pour attaquer la cryptographie.

Qubits logiques vs qubits physiques — une énorme différence. La déclaration de 48 qubits logiques utilisant seulement deux qubits physiques par qubit logique paraît peu crédible, car la correction d’erreurs dans cette configuration serait insuffisante.

Les cartes graphiques (ou cartes de circuit) sont souvent trompeuses. Beaucoup de prévisions évoquent des milliers de qubits logiques d’ici une certaine année, mais ces qubits ne supportent que des opérations de Clifford, que les ordinateurs classiques peuvent simuler efficacement. L’algorithme de Shor, nécessaire pour casser RSA, requiert des opérations non-Clifford (portes T), qui ne sont pas présentes dans ces architectures.

En résumé : attendre qu’un ordinateur quantique capable de casser RSA-2048 apparaisse dans les 5 prochaines années n’est pas soutenu par les réalisations publiques. Même 10 ans, c’est une estimation ambitieuse. Mais cela ne signifie pas qu’il faut se détendre, surtout pour certains types de données.

Attaque « voler maintenant, déchiffrer plus tard » : qui est réellement en danger ?

C’est la distinction la plus critique pour comprendre pourquoi le chiffrement post-quantique nécessite une action immédiate, alors que les signatures post-quantiques pas forcément.

Pour le chiffrement : un attaquant peut intercepter et stocker aujourd’hui des données chiffrées, puis, lorsque les ordinateurs quantiques seront disponibles, tout déchiffrer. Cela implique que les données sensibles à long terme (plus de 10-50 ans) doivent déjà être protégées par des schémas post-quantiques. Des agences gouvernementales accumulent déjà des gigaoctets de communications interceptées pour les déchiffrer à l’avenir. C’est pourquoi le chiffrement hybride (classique + post-quantique) est déjà intégré dans certains navigateurs (Chrome avec Cloudflare), messageries (Signal, iMessage).

Pour les signatures numériques : la situation est fondamentalement différente. Si vous pouvez prouver qu’une signature a été créée avant l’arrivée des ordinateurs quantiques, elle ne peut pas être rétroactivement falsifiée. Les ordinateurs quantiques ne pourront forger de nouvelles signatures qu’à partir de leur apparition. Cela signifie que les signatures post-quantiques n’ont pas la même urgence que le chiffrement post-quantique.

Pour les preuves à divulgation zéro (zkSNARK) : elles ne sont pas vulnérables à l’attaque « voler-décrypter » car leur propriété de zéro connaissance garantit qu’aucune information sur le secret n’est révélée — même à un ordinateur quantique. Ainsi, un zkSNARK créé aujourd’hui restera cryptographiquement sécurisé demain, peu importe la cryptographie à courbes elliptiques utilisée.

Signatures post-quantiques : pourquoi ne pas attendre ?

C’est ici que la dimension pratique du passage à l’échelle entre en jeu. Les schémas de signatures post-quantiques ont des compromis importants :

Taille et performance : Les signatures par hachage (les plus conservatrices en sécurité) font 7-8 Ko — soit 100 fois plus que les signatures classiques à courbes elliptiques (64 octets). ML-DSA fait 2,4–4,6 Ko (40–70 fois plus). Même Falcon, plus compact (0,7–1,3 Ko), présente des difficultés de mise en œuvre.

Complexité de la mise en œuvre : Falcon implique des opérations en virgule flottante en temps constant et a déjà été victime d’attaques par canaux auxiliaires. Un de ses développeurs l’a qualifié de « l’algorithme cryptographique le plus complexe que j’aie jamais implémenté ».

Maturité insuffisante : Rainbow, SIKE/SIDH — candidats à la standardisation par le NIST — ont été cassés classiquement par des ordinateurs classiques. Cela montre le risque de standardiser et déployer trop tôt.

L’infrastructure Internet avance déjà : la migration vers des signatures post-quantiques peut se faire à tout moment, sans échéance stricte. La prudence est justifiée, car une erreur à ce stade pourrait coûter cher. Les blockchains doivent suivre la même stratégie.

La blockchain sous pression : qui est vulnérable aux attaques quantiques ?

Blockchains publiques (Bitcoin, Ethereum) : en grande partie à l’abri des attaques « voler-décrypter » car elles utilisent principalement des signatures non post-quantiques pour l’autorisation, pas pour le chiffrement. La menace quantique pour Bitcoin concerne la falsification de signatures et le vol de fonds, pas le déchiffrement de données déjà publiques. Même la Réserve fédérale a erré en affirmant que Bitcoin était vulnérable aux attaques quantiques via HNDL.

Cependant, Bitcoin doit faire face à des défis spécifiques : gestion lente du protocole, millions d’adresses « dormantes » avec des clés publiques connues, représentant des milliards de dollars. Même si les ordinateurs quantiques n’apparaissent pas avant 2035, la logistique de la transition peut prendre des années. Il faut donc commencer à planifier dès maintenant — pas à cause d’une menace immédiate, mais pour coordonner la migration.

Blockchains privées : réellement en danger. Si les données sur les destinataires ou les montants sont chiffrées ou masquées (comme dans Monero), ces informations peuvent être interceptées aujourd’hui et dé-anonymisées demain via des attaques quantiques. Pour elles, la cryptographie post-quantique ou des schémas hybrides sont déjà nécessaires, ou une refonte de l’architecture pour ne pas stocker de secrets déchiffrables dans la blockchain.

Sept étapes pour une sécurité post-quantique

Voici des recommandations pratiques, basées sur cette analyse :

1. Mettre en œuvre immédiatement un chiffrement hybride là où la confidentialité à long terme est critique. Les schémas hybrides (post-quantiques + classiques) protègent contre les attaques « voler-décrypter » et pallient les faiblesses potentielles des schémas post-quantiques purs.

2. Utiliser des signatures par hachage dans les scénarios à faible fréquence, où la taille n’est pas critique (mise à jour de logiciels, firmware). Cela offre une sécurité conservatrice et une protection contre d’éventuels progrès rapides en quantique.

3. Les blockchains ne doivent pas se précipiter pour adopter des signatures, mais commencer à planifier. Les développeurs doivent faire preuve de prudence, comme dans la communauté PKI.

4. Bitcoin doit élaborer un plan spécifique pour la migration et la gestion des « adresses dormantes » avec clés publiques connues. Les défis sont surtout organisationnels et de coordination, pas techniques.

5. Consacrer du temps à la recherche sur les SNARK post-quantiques et signatures hybrides. Cela prendra plusieurs années, mais éviter de bloquer prématurément des solutions sous-optimales en vaut la peine.

6. Envisager une abstraction d’adresse dans les portefeuilles de contrats intelligents pour plus de flexibilité lors de la transition vers des primitives post-quantiques.

7. Les blockchains privées doivent migrer rapidement si cela est compatible avec leur performance, en raison de la menace réelle que représente HNDL pour leur confidentialité.

Le vrai risque : la mise en œuvre, pas les ordinateurs quantiques

La conclusion souvent négligée : dans les années à venir, ce seront surtout les vulnérabilités liées à la mise en œuvre, aux canaux auxiliaires et aux attaques par injection d’erreurs qui représenteront la menace principale, bien plus que les ordinateurs quantiques eux-mêmes. Pour des systèmes complexes comme SNARK ou signatures post-quantiques, ce sont les erreurs d’implémentation qui peuvent avoir des conséquences catastrophiques.

Investissez dans l’audit, le fuzzing, la vérification formelle et la sécurité multicouche. Ne laissez pas la peur quantique masquer des menaces plus immédiates et plus graves.

Restez critique face aux annonces de progrès quantiques. Chaque étape importante montre en réalité que la cible est encore loin. Les communiqués sont des rapports d’étapes, pas des signaux d’urgence ou de nécessité de précipitation.