Les choses empirent avant de s’améliorer

​J’ai couru mon septième marathon en mai 2017, à Saskatoon. J’avais prévu de rendre visite à mes parents, qui habitaient cette ville depuis plus de trente ans, pendant le week-end de la course. Fort d’un solide cycle d’entraînement pendant l’hiver, je m’attendais à mener une bonne course en profitant d’un parcours relativement plat et d’une fraîche température printanière. Mais, peu après le début de la course (au cinquième kilomètre, environ), un incident inhabituel m’a déconcerté.

J’ai remarqué que le long du parcours, les marqueurs de distance commençaient à dévier d’environ 800 mètres par rapport à ma montre GPS, et cette déviation s’est maintenue pendant le reste de la course. Selon chaque marqueur, j’étais plus en avance que ne l’indiquait mon GPS, d’une manière si importante et si constante qu’elle ne pouvait s’expliquer par l’inexactitude du GPS. (Les appareils GPS portables ne sont exacts qu’à quelques mètres de distance et peuvent souvent dévier de dizaines, voire de centaines de mètres.) D’autres concurrents m’ont dit avoir remarqué la même chose. Nous avons supposé qu’il y avait une erreur dans la répartition des marqueurs, qui serait corrigée, et nous avons continué à courir. J’étais confiant, à la pensée que j’allais atteindre un record personnel.

Mais, imaginez ma surprise lorsque, presque à la fin de la course, alors que je pensais faire un dernier virage vers la ligne d’arrivée, un patrouilleur de parcours a dirigé tous les coureurs vers une boucle supplémentaire de 400 mètres aller-retour. Croyez-moi : quand on vient de courir quelque 42 km et qu’on croit avoir presque fini, devoir courir 800 mètres de plus est absolument atroce. J’étais découragé en pensant que mon rêve d’un record personnel venait de s’évanouir.Néanmoins, j’ai parcouru la distance supplémentaire et terminé le marathon en atteignant, faute de mieux, mon deuxième meilleur résultat.

Ce même après-midi, j’ai reçu des organisateurs de la course un courriel qui expliquait ce qui était arrivé : les patrouilleurs de parcours avaient mal dirigé les coureurs à une intersection au cinquième kilomètre, réduisant par inadvertance d’environ 800 mètres la distance entière du parcours. Une fois l’erreur découverte, le directeur de la course a dû s’empresser d’ajouter 800 mètres à la fin du parcours avant l’arrivée du peloton de tête. Tout est bien qui finit bien, pourrait-on dire : deux déviations par rapport au parcours prévu avaient ajouté de la difficulté et de la confusion, mais nous avons quand même couru la bonne distance.

S’écarter du parcours
Dans un billet antérieur portant sur notre marathon vers un chiffrement postquantique, j’écrivais que la ligne d’arrivée semblait être en vue. Toutefois, comme dans le cas de ce marathon à Saskatoon, un ou deux contretemps nous ont déconcertés.La ligne d’arrivée semble encore à notre portée, mais elle est peut-être plus éloignée et plus difficile à atteindre que prévu.

Rappelez-vous : j’écrivais que le RSA-2048 était un chiffrement asymétrique qui protège le trafic Internet et que l’algorithme de Shor prouvait qu’un ordinateur quantique suffisamment puissant finirait par pouvoir le percer.On avait toujours cru qu’il faudrait au moins cinq à dix ans pour que cette possibilité se réalise. Toutefois, en décembre 2022, une équipe de chercheurs chinois a publié un document dans lequel elle prétendait qu’on pouvait percer le chiffrement RSA au moyen d’une technologie quantique existante, en l’occurrence un ordinateur quantique à seulement 372 bits quantiques, ou qubits. Comme un important fabricant de matériel quantique offre déjà une technologie à 433 qubits et qu’on en promet une à 1 122 qubits d’ici la fin de 2023, la sécurité informatique risque de subir de graves conséquences.

Tel est le premier détour inattendu dans notre marathon postquantique.

J’ai déjà écrit aussi que le National Institute for Standards and Technology (NIST) avait dressé, en juillet 2022, une courte liste de quatre nouveaux algorithmes de chiffrement, finalistes susceptibles de former la base du chiffrement à résistance quantique, ou postquantique. Tous ces algorithmes sont fondés sur des problèmes mathématiques si compliqués que même un ordinateur quantique ne pourrait pas les percer. Toutefois, en février 2023, une équipe de cryptographes américains a annoncé qu’elle avait réussi à compromettre un de ces algorithmes, appelé CRYSTALS-Kyber. C’est l’un des trois algorithmes fondés sur des problèmes euclidiens en mathématiques pures. S’il est compromis, comment peut-on être sûr de l'intégrité des autres finalistes? Et quelles sont les répercussions sur les fournisseurs qui intègrent déjà des versions de ces algorithmes à leurs produits (appareils de réseautage, ordinateurs centraux, etc.) dits à résistance quantique? La soudaine vulnérabilité de CRYSTALS-Kyber constitue un deuxième détour dans notre parcours.

Voilà donc la mauvaise nouvelle : la menace quantique au chiffrement actuel semble se rapprocher, et le moyen de défense sur lequel on comptait semble être plus faible qu’on ne le croyait. La bonne nouvelle est que ces détours sont probablement moins graves qu’il n’y paraît, et nous avons encore de bonnes chances de terminer cette course.

Rester calme et persévérer
Si les chercheurs chinois prétendent avoir prouvé qu’on pouvait percer le RSA avec un ordinateur quantique à seulement 372 qubits, ils ont, en réalité, trouvé les facteurs premiers d’un entier relatif à 48 bits au moyen d’un appareil à 10 qubits. Un entier relatif à 48 bits est un nombre pouvant s’élever à un peu plus de 281 billions (281 000 000 000 000). C’est une valeur qu’on peut concevoir théoriquement (à peu près dix fois la taille de la dette nationale américaine) et il serait facile, même pour un ordinateur classique, d’en trouver les facteurs premiers. La mise en œuvre actuelle du RSA consiste à factoriser un entier relatif à 2048 bits, soit, très approximativement, un nombre pouvant s’élever à 3 suivi de 616 zéros, donc pratiquement inconcevable. Des mathématiciens, dont Peter Shor lui-même, ont examiné les résultats de l’étude chinoise et conclu que si la méthode n’est pas erronée, rien ne prouve qu’elle peut atteindre une ampleur et une vitesse suffisantes pour percer le RSA-2048. La sécurité est probablement assurée—pour le moment—mais cet épisode doit servir de solide avertissement.

En outre, la vulnérabilité de CRYSTALS-Kyber n’était pas due à un défaut de l’algorithme lui-même, mais plutôt à ce qu’on appelle une « attaque par canal auxiliaire » : ici, les pirates n’essaient pas de percer l’algorithme mathématiquement.Ils mesurent plutôt les fluctuations du courant électrique, le temps de traitement de l’unité centrale ou même les émissions électromagnétiques de l’ordinateur pour tenter d’effectuer une rétro-ingénierie de valeurs clés qui pourraient les aider à deviner l’algorithme. Les défenseurs de CRYSTALS-Kyber ont vite fait remarquer qu’il faut faire la distinction entre l’algorithme lui-même et sa mise en œuvre. Une attaque par canal auxiliaire cible seulement un aspect particulier d’un algorithme de chiffrement sur un matériel donné, et non l’algorithme lui-même, et qu’en théorie n’importe quel algorithme serait vulnérable. Il existe des moyens de défense viables contre les attaques par canal auxiliaire (insérer des délais aléatoires dans l’exécution de l’algorithme, manipuler l’horloge de l’ordinateur ou mieux blinder les émissions), mais leur exécution est coûteuse. Le NIST a encore du pain sur la planche, notamment en ce qui concerne l’efficacité et la performance. Mais pour le moment, du moins, l’intégrité mathématique de CRYSTALS-Kyber et de ses semblables ne semble pas avoir été compromise.

N’abandonnons pas : nous n’avons pas perdu cette course, du moins pas encore. Mais réjouissons-nous que ces deux contretemps aient été moins graves qu’ils auraient pu l’être. La prochaine fois, nous n’aurons peut-être pas la même chance, aussi devons-nous nous préparer. On ne peut plus rester inactif. Les organisations doivent résolument mener une évaluation du risque quantique, suivie d’un inventaire cryptographique et d’une classification des données à risque. En prenant ces mesures dès maintenant, nous aurons la souplesse nécessaire pour mettre en œuvre rapidement de nouvelles solutions postquantiques avant l’arrivée inévitable de la menace quantique, qui pourrait se concrétiser beaucoup plus tôt qu’on ne le croit.