L’arrivée imminente de la cryptographie post-quantique (PQC) révèle au grand jour ce que les experts savaient déjà de longue date : la cryptographie est la clé de voûte d'un monde connecté. Plus concrètement, la cryptographie et les infrastructures à clés publiques (PKI) sont essentielles à la sécurité des objets, appareils et équipements connectés, et à travers eux à la préservation de la confiance numérique.

Or, tout cet écosystème vit aujourd'hui sous la menace annoncée des ordinateurs quantiques dits cryptographiquement pertinents (Cryptographically Relevant Quantum Computers, CRQC), des supercalculateurs suffisamment puissants pour potentiellement casser les algorithmes asymétriques traditionnels comme RSA et ECC. Heureusement, la cryptographie post-quantique apporte une solution au travers d’algorithmes posant des problèmes mathématiques extrêmement difficiles à résoudre, même pour les ordinateurs quantiques. Certes, les CRQC devront être beaucoup puissants que les premiers ordinateurs quantiques avant d'espérer vaincre les algorithmes actuels. Mais leur heure viendra et c'est maintenant que doit se préparer la transition vers de nouveaux algorithmes.

Le passage à la cryptographie post-quantique exige une mise à niveau complexe de toutes les infrastructures connectées qui se sont construites au fil des décennies. La bonne nouvelle, c'est que nous ne sommes pas encore dos au mur, mais les organisations doivent d’ores et déjà déterminer les tenants et aboutissants de cette transition pour leur structure – une transition difficile à gérer en raison de l'immensité de la tâche.

Mai 2023 : date butoir imposée aux agences fédérales américaines pour dresser l'inventaire de leurs systèmes cryptographiques

Le processus est enclenché et les États-Unis ont enjoint leurs administrations à s’y engager. C'est ainsi qu'à l’automne 2022, l’ONCD (Office of the National Cyber Director) a publié des instructions à l’attention des agences fédérales pour encadrer leur transition vers la cryptographie post-quantique, conformément au mémorandum 10 de la Maison Blanche sur la sécurité nationale. Ces directives leur expliquaient entre autres comment inventorier leurs systèmes cryptographiques les plus critiques, sachant qu’elles n’avaient que jusqu’au 4 mai 2023 pour soumettre la liste de leurs systèmes prioritaires.

Pourtant, certaines administrations ont eu du mal à respecter ce délai. Cela est compréhensible, car comme on le constate dans toutes les grandes structures, l'identification des systèmes cryptographiques est un processus long et complexe. Ce qui nous ramène à l’omniprésence de la cryptographie : difficile d'assurer le suivi d'éléments dont on ignore parfois jusqu'à l'existence.

Et qu’en est-il du secteur privé ? Bien qu’exemptées de toute date butoir pour l'instant, les entreprises doivent elles aussi identifier leurs ressources cryptographiques et les gérer de manière proactive. Entreprises, administrations, collectivités ou autres : voici quelques étapes à suivre pour lancer votre transition vers la PQC sur de bonnes bases.

Inventorier les ressources cryptographiques

La première étape consiste à inventorier tous les systèmes cryptographiques, y compris les certificats et les algorithmes, et à définir les priorités en fonction de leur niveau de criticité. Il s’agit ensuite de déterminer ce qui doit être mis à niveau ou remplacé pour garantir la sécurité des systèmes dans la nouvelle ère de la cryptographie post-quantique.

Quelles ressources cryptographiques sont présentes dans votre environnement ? Quels algorithmes les certificats utilisent-ils ? Qui les a émis ? Quand expirent-ils ? Quels domaines protègent-ils ? Quels logiciels sont signés, avec quelle clé ?… Autant de questions complexes auxquelles vous devrez répondre. Et ce n’est pas tout : vos logiciels ou vos équipements téléchargent-ils automatiquement les mises à jour ? Se connectent-ils à un serveur backend ? Sont-ils rattachés à un site web ou à un portail ? Ce site web ou ce portail est-il exploité par un tiers ou un fournisseur cloud ? Sachant qu’aujourd’hui, la réponse à toutes ces questions est fondamentalement « oui », vous devrez contacter tous ces fournisseurs pour savoir de quelles entités ils dépendent. Quels logiciels utilisent-ils ? Sur quels services s’appuient-ils ? Quels sont les fournisseurs backend impliqués ? Répétez les mêmes questions jusqu'à ce que vous ayez un inventaire complet.

Mesurer l'empreinte numérique de votre organisation peut être un véritable casse-tête. C’est pourtant un passage obligé dans le monde hyperconnecté d’aujourd'hui. Une bonne protection de vos ressources cryptographiques commence par un bilan précis de votre parc actuel.

Prioriser les ressources cryptographiques dont la confiance doit être assurée sur le long terme

Le remplacement des algorithmes de chiffrement doit commencer par les ressources cryptographiques dont la fiabilité des signatures doit être garantie dans la durée : racines de confiance, firmwares d’appareils et équipements à longue durée de vie, etc. Et effectivement, cela signifie inventorier les logiciels et matériels, puis dresser leur profil de chiffrement exact. Comme le souligne le mémorandum 10 du gouvernement des États-Unis, des données chiffrées peuvent très bien être enregistrées maintenant, puis déchiffrées dans un futur plus ou moins proche à l'aide d’un ordinateur quantique. Les chiffrements de données destinées à rester secrètes à long terme doivent donc figurer en tête de vos priorités.

Évaluer et tester l’intégration des algorithmes PQC

L’an dernier, le NIST a sélectionné ses algorithmes finaux pour la standardisation de la PQC. L’organisme continue toutefois de développer divers standards et documentations sur la manière d’implémenter, de tester et de déployer ces algorithmes en toute sécurité. Il faudra probablement encore attendre deux ans avant que ces algorithmes ne deviennent monnaie courante. Cependant, les développeurs de bibliothèques cryptographiques et de logiciels de sécurité doivent d'ores et déjà les intégrer dans leurs produits. Quant aux organisations en général, elles doivent aussi commencer à plancher sur la manière d’intégrer les algorithmes PQC sélectionnés, car leur adoption demandera un certain travail.

Faire appel à un expert

Besoin d’aide pour identifier et gérer vos ressources cryptographiques ? Faites équipe avec un fournisseur de confiance comme DigiCert. Contactez le service commercial DigiCert pour accéder à notre kit PQC dans lequel vous trouverez notamment un certificat test hybride RSA/PQC.

En conclusion, même si la date limite imposée aux administrations américaines pour soumettre leurs inventaires de systèmes cryptographiques est déjà passée, c'est maintenant que les organisations du monde entier doivent leur emboîter le pas pour identifier et gérer proactivement leurs ressources cryptographiques. Qu'on ne s'y trompe pas : la transition vers une cryptographie post-quantique est un chantier majeur. Mais en identifiant et en gérant dès maintenant leurs ressources cryptographiques, les organisations poseront les bases d’un avenir numérique sécurisé et fiable.