Cryptographie post-quantique : état des lieux et nécessité d’agir

Les qubits montent peu à peu, RSA tremble, et le Q-Day n’attendra pas que l’écosystème Web soit prêt. Les ordinateurs quantiques ne cassent pas encore RSA. Mais vos données interceptées aujourd’hui pourraient l’être demain. La course contre la montre vers la cryptographie post-quantique est lancée. Ceux qui agissent aujourd’hui achètent du temps. Les autres achèteront de la panique.

Par Bas Westerbaan, Principal Research Engineer chez Cloudflare

Le progrès des ordinateurs quantiques met en danger, à terme, les bases cryptographiques qui protègent aujourd’hui Internet. Même si ces machines ne sont pas encore capables de casser des standards comme RSA ou ECC (cryptographie à courbes elliptiques), le risque existe déjà puisque des données peuvent être interceptées dès maintenant, conservées, puis déchiffrées plus tard lorsque la technologie sera suffisamment avancée, ce que l’on appelle parfois le “Q-Day”. L’enjeu n’est donc plus de savoir si cette étape finira par arriver, mais de s’assurer que la transition vers des protections “post-quantiques” aura été réalisée à temps.

Les progrès matériels et logiciels quantiques

Chaque année, on annonce des ordinateurs quantiques dotés de toujours plus de qubits. Mais ce chiffre, pris isolément, est trompeur puisque ces machines restent très sensibles aux perturbations et commettent facilement des erreurs. Pour obtenir des résultats fiables, il faut donc corriger ces erreurs, ce qui oblige souvent à mobiliser beaucoup de qubits « physiques » pour fabriquer un plus petit nombre de qubits « logiques », plus stables et réellement exploitables.

Les approches basées sur le silicium semblent bien placées pour une production à grande échelle, mais pourraient exiger des millions de qubits physiques. À l’inverse, les systèmes à ions piégés sont généralement plus précis, mais plus difficiles à faire grandir. Or, quelques centaines de milliers de qubits logiques pourraient déjà suffire à fragiliser RSA-2048, un standard de chiffrement encore très répandu. Des projets comme Willow chez Google, qui démontrent des qubits logiques évolutifs grâce à des techniques modernes de correction d’erreurs, montrent que cette industrialisation n’est plus seulement théorique.

Mais l’accélération vient aussi du logiciel. En 2025, Craig Gidney (Google) a notamment montré qu’il faudrait bien moins de qubits qu’on ne le pensait pour casser RSA-2048 (moins d’un million, contre environ vingt millions estimés auparavant) ce qui rapproche l’horizon du “Q-Day” d’environ 7 ans. D’autres travaux, comme un algorithme exploré par Yilei Chen (Google) sur certains problèmes liés aux réseaux, même s’ils ont leurs limites, rappellent qu’une grande partie de la cryptographie post-quantique actuelle repose sur les réseaux, et qu’il n’existe que peu d’alternatives crédibles à l’heure actuelle. Autrement dit, une part importante des protections cryptographiques en place devra être remplacée. Seule l’échéance reste inconnue.

À quand le Q-Day et où en est la transition ?

Personne ne peut dater précisément le “Q-Day”, mais les autorités donnent déjà un cap. Aux États-Unis, la transition est visée à l’horizon 2035, avec des jalons fixés par la NSA (selon les systèmes, entre 2026 et 2033). L’Australie cible 2030, tandis que l’UE et le Royaume-Uni se situent globalement entre 2030 et 2035 selon les secteurs. Autrement dit, la décennie qui s’ouvre est celle du basculement post-quantique.

Du point de vue technique, on observe une forme de stabilisation. Le NIST a publié une première génération de standards post-quantiques (ML-KEM pour établir des clés de chiffrement, et ML-DSA / SLH-DSA pour les signatures numériques), conçus pour servir de base à la majorité des déploiements à venir.

Dans les usages, l’échange de clés post-quantique avance déjà concrètement : on voit apparaître des déploiements “hybrides” (classique + post-quantique) dans TLS, et les travaux de standardisation IETF progressent dans ce sens. En revanche, les signatures et les certificats sont plus lents à généraliser, car ils touchent toute la chaîne de confiance du Web (autorités de certification, navigateurs, systèmes d’exploitation, outils). On peut déjà expérimenter des certificats post-quantiques en environnements privés et pilotes, mais pour le Web “public”, le calendrier dépend encore de l’alignement de l’écosystème.

Atténuer la menace quantique : migrer l’accord de clé et les signatures

La transition post-quantique se joue sur deux volets : l’accord de clé et les signatures/certificats. LE chiffrement symétrique (comme AES-GCM) restant robuste, l’urgence est surtout de remplacer la cryptographie à clé publique vulnérable.

Dans TLS, l’accord de clé repose aujourd’hui sur des mécanismes comme X25519 qui, à terme, pourront être cassés par Shor. Des échanges captés aujourd’hui pourraient être déchiffrés demain. Toutefois, c’est la partie la plus simple à migrer. ML-KEM peut souvent être déployé via des mises à jour logicielles, parfois en hybride, et les grands acteurs l’activent déjà largement.

En revanche les signatures sont plus complexes. Si ‘l’on sait qu’elles seront bientôt fragilisées, Les alternatives post-quantiques génèrent souvent des signatures plus volumineuses, avec un coût en bande passante et latence. ML-DSA-44 est un point de départ crédible, mais aucun standard ne s’impose encore partout. Comme cela touche la chaîne de confiance et des équipements durables, il faut l’anticiper dès maintenant.

Comment les entreprises peuvent-elles se protéger dès maintenant ?

Pour les organisations, la feuille de route est claire. D’abord, mettre à jour l’accord de clé vers des schémas post-quantiques comme X25519 + ML-KEM-768, déjà disponibles dans de nombreux logiciels, afin de neutraliser immédiatement le risque du « stockage immédiat pour décryptage ultérieur ». Ensuite, établir une véritable nomenclature cryptographique (CBOM), identifier où RSA et l’ECC sont utilisés, quels systèmes peuvent être mis à jour, lesquels devront être remplacés ou isolés.

Même si les standards définitifs pour les certificats post-quantiques ne sont pas totalement stabilisés, il est déjà possible et nécessaire de se moderniser (automatiser la gestion des certificats, prévoir la coexistence de plusieurs types de certificats, tester des déploiements en pré-production). La migration post-quantique est une contrainte, mais aussi une occasion de remettre à niveau des fondations trop longtemps ignorées. Ceux qui agissent dès maintenant auront un avantage décisif lorsque le Q-Day passera du statut d’hypothèse pour devenir une réalité technologique.

À LIRE AUSSI :

Secu

Cryptographie post-quantique : Une révolution en marche, mais à quel prix ?

La rédaction

22 Avr

À LIRE AUSSI :

Secu

L’algorithme de Shor fonctionne pour de vrai… sur une vraie machine quantique IBM !

Laurent Delattre

25 Juil

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !