L’apocalypse de l’informatique quantique : une prédiction régulièrement annoncée par les experts depuis trois décennies. Aujourd’hui, des études, telles que celles menées par Gartner, indiquent que l’échéance pourrait se situer entre 2029 et 2034. Les professionnels de la sécurité informatique semblent donc encore une fois se dire qu’il est temps de procrastiner, mais une entreprise se démarque : Signal. Ils ont récemment publié un article technique détaillant comment ils ont déjà commencé à résoudre ce problème de sécurité dans un monde où la menace quantique est de plus en plus pressante.
À l’heure actuelle, seulement 18 % des entreprises du Fortune 500 disposent de réseaux protégés contre les ordinateurs quantiques. Cela en dit long sur la préparation globale face à cette nouvelle ère technologique. Signal a développé un système innovant sobrement intitulé SPQR (Sparse Post Quantum Ratchet), un clin d’œil historique aux légions romaines et une réponse concrète aux défis posés par la cryptographie quantique. Cependant, le passage à la cryptographie post-quantique ne se limite pas à une simple mise à jour de sécurité. Les nouvelles clés cryptographiques résistantes aux ordinateurs quantiques, comme la ML-KEM-768, sont considérablement plus volumineuses que leurs prédécesseurs, ce qui pose un défi en termes de bande passante et de divers environnements d’utilisation.
Signal démontre que la sécurité post-quantique est réalisable, même dans des contextes difficiles, tout en gardant l’expérience utilisateur intacte.
Signal, contrairement à des services comme WhatsApp, ne peut se permettre d’augmenter sa consommation de bande passante. Le service doit être accessible tant aux utilisateurs de vieux téléphones qu’à ceux vivant dans des pays à la bande passante limitée ou sous surveillance gouvernementale. En 2023, Signal avait déjà proposé une première mise à jour avec PQXDH pour sécuriser la phase d’initialisation des conversations, tout en conservant une approche hybride. Cela s’avérait insuffisant, étant donné que le développement du Double Ratchet, qui permet une évolution constante des clés de chiffrement, reposait sur la technique ECDH, bientôt vulnérable aux ordinateurs quantiques.
Pour surmonter ce défi, Signal a conçu un système appelé Triple Ratchet, ou SPQR, qui fonctionne en tandem avec les autres méthodes tout en intégrant des secrets post-quantiques. En utilisant des “erasure codes”, ils offrent une solution permettant de reconstituer des clés cryptographiques manquantes, même en cas de perte de paquets sur des réseaux peu fiables. De plus, pour pallier la taille accrue des nouvelles clés, Signal a parallélisé l’échange des clés, envoyant plusieurs petites clés dans plusieurs messages, minimisant ainsi l’impact sur la bande passante.
En résumé, Signal a mis en place une protection post-quantique à la fois robuste et efficace, préservant les principes de la forward secrecy et de la post-compromise security, tout en s’adaptant à divers environnements d’utilisation. Ce développement significatif est invisible pour l’utilisateur, mais il souligne l’importance d’anticiper les défis futurs en matière de sécurité. Les entreprises françaises doivent prendre au sérieux ces enjeux, car le temps presse. L’ANSSI a d’ores et déjà alerté les principaux secteurs à risque, tels que la banque et la santé, et encourage une prise de conscience face à ces nouvelles menaces. Signal a également ouvert son code source, offrant une occasion unique pour d’autres entreprises de s’inspirer de leurs avancées.
