Aujourd'hui, les prédictions sur l'émergence d'un « ordinateur quantique pertinent pour la cryptographie (CRQC) » sont souvent trop optimistes et exagérées – ce qui pousse à des appels pour une migration immédiate et totale vers la cryptographie post-quantique.
Mais ces appels négligent souvent les coûts et les risques d'une migration prématurée, ainsi que les propriétés de risque très différentes des primitives cryptographiques :
- Le chiffrement post-quantique (Post-quantum encryption) nécessite effectivement un déploiement immédiat, malgré son coût élevé : les attaques de type « Intercepter maintenant, déchiffrer plus tard » (HNDL) se produisent déjà. Les données sensibles chiffrées aujourd'hui pourraient encore avoir de la valeur dans plusieurs décennies, lorsque les ordinateurs quantiques apparaîtront. Bien que la mise en œuvre du chiffrement post-quantique entraîne des surcoûts de performance et des risques d'exécution, face aux attaques HNDL, les données nécessitant une confidentialité à long terme n'ont pas d'autre choix.
- Les signatures post-quantiques (Post-quantum signatures) relèvent d'une logique de calcul totalement différente : elles ne sont pas affectées par les attaques HNDL. De plus, le coût et le risque des signatures post-quantiques (taille plus importante, performance moindre, technologie immature et bogues potentiels) dictent une stratégie de migration réfléchie, et non précipitée.
Il est crucial de clarifier ces distinctions. Les idées fausses faussent l'analyse coûts-avantages, conduisant les équipes à ignorer des risques de sécurité plus immédiats et mortels – tels que les bogues de code.
Dans le processus de migration vers la cryptographie post-quantique, le véritable défi consiste à faire correspondre le sentiment d'urgence avec la menace réelle. Ce qui suit clarifiera les idées fausses courantes sur la menace quantique en couvrant le chiffrement, les signatures et les preuves à divulgation nulle de connaissance (en particulier leur impact sur la blockchain).
À quelle distance sommes-nous de la menace quantique ?
Malgré le battage médiatique, la probabilité de voir apparaître un « ordinateur quantique pertinent pour la cryptographie (CRQC) » dans les années 2020 est extrêmement faible.
Par « CRQC », j'entends un ordinateur quantique tolérant aux pannes, avec correction d'erreurs, et d'une échelle suffisante pour exécuter l'algorithme de Shor en un temps raisonnable pour attaquer la cryptographie sur courbes elliptiques ou RSA (par exemple, casser secp256k1 ou RSA-2048 en un mois au plus).
Une lecture raisonnable des jalons publics et des estimations de ressources montre que nous sommes encore loin de construire une telle machine. Bien que certaines entreprises affirment qu'un CRQC pourrait apparaître avant 2030 ou 2035, les progrès publiquement connus à ce jour ne corroborent pas ces affirmations.
Pour être objectif, parmi toutes les architectures techniques – pièges à ions, qubits supraconducteurs, systèmes à atomes neutres – aucune plateforme actuelle ne s'approche des centaines de milliers à millions de qubits physiques nécessaires pour exécuter l'algorithme de Shor (en fonction du taux d'erreur et du schéma de correction).
Le facteur limitant n'est pas seulement le nombre de qubits, mais aussi la fidélité des portes (Gate Fidelities), la connectivité des qubits, et la profondeur de circuit de correction d'erreurs continue nécessaire pour exécuter des algorithmes quantiques profonds. Bien que certains systèmes comptent désormais plus de 1 000 qubits physiques, se fier uniquement à ce nombre est trompeur : ces systèmes manquent de la connectivité et de la fidélité nécessaires pour effectuer des calculs pertinents en cryptographie.
Des systèmes récents commencent à approcher le seuil où la correction d'erreur quantique devient efficace, mais personne n'a encore démontré plus de quelques qubits logiques avec une profondeur de circuit de correction continue... Sans parler des milliers de qubits logiques à haute fidélité, circuits profonds et tolérants aux pannes nécessaires pour exécuter réellement l'algorithme de Shor. Le fossé entre « prouver que la correction d'erreur quantique est possible en principe » et « atteindre l'échelle nécessaire pour la cryptanalyse » reste immense.
En bref : à moins que le nombre de qubits et leur fidélité n'augmentent de plusieurs ordres de grandeur, le CRQC reste hors de portée.
Cependant, il est facile d'être confus par les communiqués de presse des entreprises et les reportages médiatiques. Voici quelques sources courantes de malentendus :
- Les démonstrations revendiquant un « avantage quantique » : ces démonstrations ciblent actuellement des tâches artificielles. Elles sont choisies non pas pour leur utilité pratique, mais parce qu'elles peuvent être exécutées sur le matériel existant et montrer une accélération quantique massive – un point souvent occulté dans les annonces.
- Les entreprises revendiquant des milliers de qubits physiques : cela fait généralement référence à des recuits quantiques (Quantum Annealers), et non aux machines à modèle de portes nécessaires pour exécuter l'algorithme de Shor et attaquer la cryptographie à clé publique.
- L'abus du terme « qubit logique » : les algorithmes quantiques (comme l'algorithme de Shor) nécessitent des milliers de qubits logiques stables. Grâce à la correction d'erreur quantique, nous pouvons implémenter un qubit logique avec de nombreux qubits physiques – souvent des centaines voire des milliers. Mais certaines entreprises ont abusé de ce terme de façon absurde. Par exemple, une annonce récente prétendait avoir réalisé 48 qubits logiques avec seulement deux qubits physiques par qubit logique. Ce code à faible redondance ne peut que détecter les erreurs, pas les corriger. Les vrais qubits logiques tolérants aux pannes, pertinents pour la cryptanalyse, nécessitent chacun des centaines à des milliers de qubits physiques.
- Jouer avec les définitions : de nombreuses feuilles de route utilisent « qubit logique » pour désigner des qubits ne supportant que les opérations de Clifford. Ces opérations peuvent être simulées efficacement par un ordinateur classique et sont donc totalement insuffisantes pour exécuter l'algorithme de Shor.
Même si l'objectif d'une feuille de route est « d'atteindre des milliers de qubits logiques en l'an X », cela ne signifie pas que l'entreprise prévoit de casser la cryptographie classique avec l'algorithme de Shor cette année-là.
Ces tactiques marketing déforment gravement la perception du public (y compris certains observateurs avertis) sur l'imminence de la menace quantique.
Néanmoins, certains experts sont enthousiastes quant aux progrès. Scott Aaronson a récemment déclaré que, compte tenu de la vitesse des progrès matériels, il pensait « possible d'avoir un ordinateur quantique tolérant aux pannes exécutant l'algorithme de Shor avant la prochaine élection présidentielle américaine ». Mais il a aussi clairement précisé que cela n'équivalait pas à un CRQC menaçant la cryptographie : même factoriser 15 = 3 × 5 dans un régime tolérant aux pannes compterait comme une « réussite de la prédiction ». Ce n'est clairement pas du même ordre de grandeur que casser RSA-2048.
En fait, toutes les expériences quantiques « factorisant 15 » utilisent des circuits simplifiés, et non l'algorithme complet et tolérant aux pannes de Shor ; et factoriser 21 a nécessité des indices supplémentaires et des raccourcis.
En clair, aucun progrès public ne démontre que nous puissions construire un ordinateur quantique capable de casser RSA-2048 ou secp256k1 dans les 5 prochaines années.
Une prédiction à dix ans reste très optimiste.
La proposition du gouvernement américain de terminer la migration post-quantique des systèmes gouvernementaux d'ici 2035 est un calendrier pour le projet de migration lui-même, et non une prédiction de l'apparition du CRQC à ce moment-là.
À quel type de système cryptographique s'applique l'attaque HNDL ?
« HNDL (Harvest Now, Decrypt Later) » fait référence à un attaquant qui stocke maintenant des communications chiffrées pour les déchiffrer plus tard, une fois les ordinateurs quantiques apparus.
Les adversaires nationaux archivent probablement déjà à grande échelle les communications chiffrées du gouvernement américain pour un déchiffrement futur. Par conséquent, les systèmes de chiffrement doivent migrer immédiatement, en particulier pour les scénarios où la confidentialité doit être maintenue pendant 10 à 50 ans ou plus.
Cependant, les signatures numériques (Digital Signatures), sur lesquelles reposent toutes les blockchains, sont différentes du chiffrement : elles ne contiennent pas d'informations confidentielles vulnérables à une attaque rétrospective.
En d'autres termes, lorsque l'ordinateur quantique apparaîtra, il pourra effectivement falsifier des signatures à partir de ce moment, mais les signatures passées ne seront pas affectées – car elles n'ont aucun secret à divulguer ; tant qu'il peut être prouvé qu'une signature a été générée avant l'apparition du CRQC, elle ne peut pas avoir été falsifiée.
Ainsi, l'urgence de migrer vers des signatures post-quantiques est bien moindre que celle de migrer le chiffrement.
Les plateformes principales ont adopté des stratégies correspondantes :
- Chrome et Cloudflare ont déployé le mode hybride X25519+ML-KEM pour TLS.
- Apple iMessage (PQ3) et Signal (PQXDH, SPQR) ont également déployé un chiffrement post-quantique hybride.
Mais le déploiement des signatures post-quantiques sur les infrastructures Web critiques a été délibérément retardé – il n'aura lieu que lorsque le CRQC sera vraiment proche, car les performances des signatures post-quantiques restent actuellement significativement dégradées.
La situation des zkSNARKs (Preuves à divulgation nulle de connaissance succinctes et non interactives) est similaire à celle des signatures. Même en utilisant des courbes elliptiques (non sûres PQ), leur propriété de zero-knowledge reste valable dans un environnement quantique.
La garantie de zero-knowledge assure que la preuve ne divulgue aucun témoin secret, donc un attaquant ne peut pas « collecter maintenant la preuve, déchiffrer plus tard ». Ainsi, les zkSNARKs ne sont pas vulnérables aux attaques HNDL. Tout comme une signature générée aujourd'hui est sûre, toute preuve zkSNARK générée avant l'apparition de l'ordinateur quantique sera digne de confiance – même si ce zkSNARK utilise la cryptographie sur courbes elliptiques. Ce n'est qu'après l'apparition du CRQC que les attaquants pourront falsifier des preuves pour de fausses déclarations. Les échanges de valeur se poursuivront jour et nuit, construisant un nouveau monde numérique dépassant de loin l'échelle de l'économie humaine.
