S’il fallait ne retenir qu’une seule conférence sur tout le programme de NoSuchCon, ce serait indiscutablement celle de Renaud Lifchitz (Oppida). A la fois pratique et prospective, technique et vulgarisante, cette causerie sur l’avenir du calcul quantique a été suivie par un atelier pratique utilisant le simulateur web du département photonique de l’Université de Bristol.
Le but d’une telle démonstration était d’appliquer, l’on s’en doute, cette méthode à la décomposition en facteurs premiers des clefs de chiffrement. Reste que l’approche mathématique n’est pas triviale. Car l’informatique des grains de lumière et des miroirs semi-réfléchissants a ses règles, notamment celle de la réversibilité des opérations. Une notion totalement étrangère aux habitués des opérations booléennes, pour qui la terre cesserait de tourner si NAND disparaissait. C’est une toute autre approche binaire qu’il faut réapprendre, avec des portes aux noms bizarres : CNot, Pauli, Hadamard, Toffoli, Swap ou Phase Shift. Tout aussi déstabilisante est la nécessaire absence de connaissance de l’état du « bit quantique » injecté dans le réseau de portes. Ici, pas d’analyseur logique. Dans le monde d’Eisenberg, lorsque l’on inverse une phase on ne connait pas le résultat avant la fin de l’opération (puisque l’observation du Qbit est l’ultime moment ou s’écroulent les improbabilités) et le chemin emprunté par un Qbit est certainement incertain.
Il faut donc être un peu beaucoup mathématicien pour jongler avec des concepts de cette nature. Et Renaud Lifchitz est un pur mathématicien qui a immédiatement compris l’intérêt pratique des ordinateurs quantiques. « Les temps de calcul pour certaines opérations sont accélérés. Je suis parvenu à factoriser un entier RSA de 21 bits en moins d’une minute, à l’aide d’un simple framework maison ». Ce sont, explique-t-il, les algorithmes symétriques qui sont les plus touchés par une attaque quantique. Sans entrer dans les détails techniques, une clef AES 128 traitée par un algorithme quantique (dit algorithme de Grover ) ne possède plus qu’une force de 64 bits. Cette règle a pour conséquence de diviser la force de tous les algorithmes symétriques par deux. « Pour AES, ce sera par exemple 2E64 fois plus rapide que d’examiner les clefs une par une en brute force » explique Renaud Lifchitz. Concrètement, AES 128 et autres crypto-systèmes symétriques seront les plus vulnérables, que ce soient les condensats ou les fonctions de chiffrement. Leur complexité en termes de taille de clef étant divisé par deux, le temps d’attaque bruteforce est divisé quadratiquement (racine du temps de recherche « normal »).
On peut estimer que les algorithmes symétriques les plus faibles de 56, 64 ou 128 bits vont être cassés d’ici 5 à 10 ans maximum si l’on se réfère à cet unique analyse (autrement dit en écartant la question de trappes préexistantes ou autre défauts intégrés volontairement ou non). « Cela ne veut pas dire que les algorithmes symétriques sont cassés dans l’absolu. Mais il faudra A minima, afin de résister à des attaques utilisant les algorithmes de Grover, doubler la taille des clefs » insiste le chercheur d’Oppida. C’est sans oublier l’inertie considérable, la force de l’habitude qui frappe le milieu informatique dès lors qu’il s’agit de chiffrement. Le passage d’une génération « crypto » à une autre, d’une intégration de protocole à une autre demande des années, et certains mécanismes fossiles perdurent des décennies dans certaines applications, parfois à l’insu même de leurs utilisateurs.
Et les systèmes asymétriques ? Eux également sont potentiellement vulnérables aux assauts d’un algorithme quantique, cette fois celui de Peter Shor, qui fonctionne à très petite échelle pour l’instant. Les plus gros systèmes d’ordinateurs quantiques pour l’instant ont une capacité d’une quinzaine de Qbits, ce qu’il faut pour factoriser des nombres de 5 bits. Plus modeste est le record de cassage d’un ordinateur quantique qui, à l’heure actuelle, est de 21 (7 Qbits). Pour donner une idée plus précise et plus concrète, il faudrait, pour casser un RSA 1024, un ordinateur de 300 000 Qbits. Ce qui laisse encore entre 20 et 25 ans aux systèmes asymétriques avant de commencer à craindre les effets de l’algorithme de Shor… faute d’ordinateur « à quanta massifs » conclut Renaud Lifchitz.
Le calcul quantique relève-t-il plus de l’analyse de risque science-fictionnesque que d’une réelle menace ? L’on en revient une fois de plus à l’axiome de Bruce Schneier : la puissance de feu (donc l’investissement de développement) déployé par l’attaquant est proportionnel au gain qu’il espère en tirer. Le calcul quantique utilisé dans le domaine de la sécurité informatique est donc à ranger dans la catégorie des « armes haut de gamme visant potentiellement les secrets d’Etats ». Le monde bureautique/business peut dormir sur ses deux oreilles. Le calcul quantique existe, il est même utilisable sur le Cloud, mais les grands calculateurs qui émettent physiquement des photons uniques et intègrent des « portes à miroirs semi-réfléchissants » en sont au stade du trotteur. Leur mise en application n’est pas attendue avant 20 ans. C’est là une échéance plus courte que l’histoire d’Internet lui-même (35 ans) ou que la microinformatique (40 ans environ). En matière de sécurité, 20 ans ne pèsent pas plus qu’un souffle de ventilateur CPU. Les recommandations de l’Owasp ont elles-mêmes 14 ans et sont loin d’être systématiquement appliquées. Il a fallu 20 ans pour que les utilisateurs « par défaut » de certains systèmes d’exploitation ne bénéficient plus systématiquement de droits « Admin ». Alors, 20 ans pour doubler ou tripler la taille des clefs symétriques ou s’inquiéter de la solidité des algorithmes RSA, cela veut peut-être dire que c’est dès aujourd’hui qu’il faut commencer à y penser.
1 commentaire