Une nouvelle catastrophe en vue?

​Le jour de l’An le plus ennuyant que j’ai fêté était sans aucun doute celui du samedi 1^er janvier 2000.

À l’époque, je travaillais pour l’une des cinq grandes banques du Canada, et mon équipe et moi avions passé les deux dernières années à mettre à niveau le réseau de serveurs des succursales. Une partie de notre tâche consistait à veiller à ce que tous les logiciels intermédiaires et d’application soient prêts pour l’an 2000. Nous avions effectué une quantité incalculable de tests et de vérifications et les systèmes étaient prêts. À la fameuse date, le directeur a demandé à tous les membres de l’équipe d’être sur place au cas où. Les yeux fatigués, nous sommes donc arrivés au bureau à 8 h et nous avons passé les six heures suivantes à surveiller nos tableaux de suivi des incidents, c’est-à-dire à observer… des écrans vides! En après-midi, nous avons enfin pu rentrer chez nous pour fêter le jour de l’An. De toute évidence, notre expérience n’a pas été la seule du genre : à l’échelle mondiale, le nombre d’incidents graves liés au passage à l’an 2000 se comptait sans doute sur les doigts d’une seule main.

Comment se fait-il que le passage à l’an 2000 – ou le soi-disant bogue de l’an 2000 – ait été un tel faux problème? Même s’il est possible que la gravité de la question ait été exagérée, tant par le secteur que par les médias, il s’agissait tout de même d’une problématique généralisée qui aurait pu entraîner de graves conséquences sur l’économie mondiale. Je crois que trois facteurs principaux ont joué un rôle dans ce non-lieu :

1. Le fait que le grand public était conscient du problème et s’en préoccupe. Le commun des mortels pouvait facilement comprendre que le passage d’un codage de dates comportant deux chiffres à un autre constitué de quatre chiffres dans les systèmes informatiques puisse poser problème, et que les ordinateurs pouvaient interpréter « 00 » comme l’année 1900 plutôt que l’année 2000. Cette préoccupation générale était un facteur important qui a forcé le gouvernement et le secteur à agir.
2. La résolution du problème, bien que coûteuse et chronophage, ne posait pas un grand défi technique. La plupart des programmeurs étaient capables de modifier un champ de date pour passer de deux à quatre chiffres, puis d’effectuer des tests. En outre, de nombreux outils automatisés de détection, d’analyse, et de prise de mesures correctives avaient été mis sur le marché à la fin des années 1990.
3. Une date d’échéance précise pour agir était fixée. Pour éviter un chaos potentiel, tous les systèmes informatiques devaient être mis à niveau et testés au plus tard le 31 décembre 1999. Cette date limite a permis d’élaborer des plans de projet robustes, prévoyant suffisamment de temps pour la conception, le développement, le déploiement et la vérification. Tout le monde travaillait en vue d’un même objectif et, collectivement, le travail a été accompli.
   

Aujourd’hui, le monde fait face à une nouvelle menace dont les conséquences possibles sont au moins aussi graves que celles qui étaient prévues pour le passage à l’an 2000. Cette menace est issue de l’évolution rapide de l’informatique quantique.

L’informatique quantique a le potentiel de révolutionner le secteur des TI tel que nous le connaissons aujourd’hui. Le matériel informatique quantique, fondé sur les propriétés des particules subatomiques, permet d’utiliser plusieurs valeurs plutôt qu’un système binaire – 0 et 1 – ou des bits, qui sous-tendent l’informatique classique. Le fonctionnement de l’informatique quantique fera l’objet d’un prochain billet. Pour l’instant, sachez que cette toute nouvelle architecture informatique a la capacité de résoudre des problèmes mathématiques complexes dans un temps exponentiellement plus rapide que les ordinateurs classiques. L’informatique quantique offre une applicabilité directe aux domaines des affaires, des sciences et de l’ingénierie, par exemple, pour la détection des vastes systèmes météorologiques, la recherche de nouveaux médicaments et l’optimisation de systèmes financiers sophistiqués ou de réseaux de transport complexes.

Toutefois, cette promesse recèle également une menace : entre les mains d’un cybercriminel, un ordinateur quantique de grande envergure pourra décoder la plupart des algorithmes de chiffrement utilisés aujourd’hui pour protéger les données sensibles et les transactions en ligne. Si cela se produisait, les fondements mêmes du commerce numérique et de la confidentialité des données seraient ébranlés, voire détruits. De plus, devant cette menace, aucun des trois facteurs décrits plus haut ne s’applique.

1. Le grand public ne connaît pas cette menace. Elle ne porte pas de nom accrocheur et est difficile à expliquer. La grande majorité des gens considère la physique quantique – et donc l’informatique quantique – comme de la science-fiction. En outre, le chiffrement repose sur des calculs mathématiques complexes, et la sécurité sur internet est donc généralement tenue pour acquise. En d’autres termes, la gravité de la menace passe inaperçue.
2. La résolution du problème, en plus d’être coûteuse et chronophage, est extrêmement compliquée. Une connaissance approfondie des mathématiques pures et de la théorie des nombres est nécessaire pour développer de nouvelles méthodes de chiffrement quantique qui soient sûres. Les façons de tester et de valider ces nouvelles méthodes ne sont pas établies car il n’existe pas encore d’ordinateurs quantiques suffisamment puissants. Le déploiement de nouveaux algorithmes de chiffrement exigera beaucoup de travail au sein des organisations et sur l’internet en général.
3. Il n’y a pas de date d’échéance précise pour la mise en place de mesures correctives, ni même pour le moment où la menace se concrétisera. La plupart des experts du secteur s’attendent à ce que des ordinateurs quantiques soient commercialisés d’ici 5 à 10 ans. Les vulnérabilités relatives au chiffrement seront alors exposées. Cette estimation correspond au moment où les principaux obstacles techniques posés par l’informatique quantique seront surmontés. Toutefois, les innovations dans le domaine émergent rapidement, ce qui pourrait réduire à néant cette estimation. Aussi, certains cybercriminels recueillent déjà des données dans le but de les déchiffrer d’ici quelques années pour en extraire des renseignements utiles. Par conséquent, bien que l’urgence du problème soit réelle, elle demeure quand même vague.
   

La vulnérabilité des méthodes de chiffrement actuelles face aux attaques quantiques a été surnommée « Y2Q ». Dans mon prochain billet, nous examinerons le fonctionnement du chiffrement, l’origine de la vulnérabilité Y2Q et ses conséquences sur les renseignements personnels et la sécurité en ligne.