Même si les informaticiens créent que le Q-Day (le jour où les ordenadores cuánticos pourraient superar les systèmes de cifrado classiques) tarderont dans quatre ou cinq ans en lisant, ignorer le problème n’est pas une bonne idée. Les acteurs malveillants, qui travaillent tant pour le crime organisé que pour les gouvernements hostiles, sont en train de rassembler des données, des clés de l’API et des propriétés intellectuelles corporatives sensibles avec l’objet de description un jour que les ordinateurs cuánticas maduren.
Le calcul cuántica va vous permettre de décrire une question d’heures comme celle d’un ordonnateur classique qui a parcouru des kilomètres d’années. Et ce n’est pas une science-fiction. Dans un monde connecté au monde actuel, il est fort probable que de nombreux acteurs puissent disposer d’ordonnateurs quantitatifs de haute capacité selon les principes de la prochaine décennie.
Dans cette réalité, il n’est pas pratique de penser qu’il y a des problèmes de sécurité les plus urgents à résoudre, ou que l’actualisation de la cryptographie est un problème technique qui peut être géré par les fournisseurs d’informatique ou les intégrateurs de systèmes. La préparation du Q-Day devrait être une priorité stratégique pour toute entreprise publique ou privée, car elle doit adopter des algorithmes résistants à la technologie médicale pour protéger les données confidentielles et être fondamentale pour pouvoir maintenir la confiance des clients et des citoyens.
Dans la pratique, cela signifie qu’il faut réaliser une transition intégrale vers la cryptographie postcuántica (PQC). En 2024, l’Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. conclu le processus d’étalonnage de trois algorithmes PQC, conçus spécifiquement pour résister aux attaques des ordenadores cuánticos. En même temps, Gartner a inclus la cryptographie post-actuelle comme une tendance technologique stratégique qui pronostique que les ordonnanceurs cuánticos pourraient comprendre le cifrado de la clé publique existant en 2029.
Espérer n’est pas une stratégie viable
Dans certains secteurs, comme les services financiers, de nombreuses entreprises espèrent que les régulateurs auront besoin de le faire. Mais la préparation au Q-Day va bien plus loin d’un problème de cumul normatif ; Il s’agit d’un problème de réputation et de continuité du commerce : une attaque informatique importante pourrait paralyser une organisation et embaucher des clients et des parties prenantes pour mener à bien la vente.
Si les organisations ne se préparent pas à un moment donné, le Q-Day pourrait également provoquer un collapsus de la confiance. Même si cela peut paraître exagéré, les ordinateurs cuánticas peuvent être utilisés pour décrire les communications confidentielles, falsifier les certificats et éluder les entreprises numériques, provoquant ainsi des oublis généralisés. Par exemple, un entrepreneur peut créer un faux certificat en tant que navigateur de l’utilisateur, ce qui lui permettra de visiter un site Web de commerce électronique légitime, afin d’inciter à introduire les données de sa carte. La falsification de certificats numériques facilite également aux acteurs malveillants la distribution de logiciels malveillants capables d’élucider les défenses antivirus ou de faciliter une supplantation d’identité.
Malheureusement, la transition vers la cryptographie post-actuelle n’est pas simple et unique. Comme le dit Gartner, la préparation au PQC nécessitera plus de travail que celui qui est là pour surmonter l’an 2000. Cette transition nécessite une planification soignée, des essais et, en dernière instance, une agilité cryptographique : la capacité d’adopter rapidement de nouveaux algorithmes cryptographiques si nécessaire. Parce que le changement sera aggravé par les préoccupations des professionnels spécialisés dans ce matériau, il existe un véritable danger que de nombreuses organisations ne soient pas préparées pour le Q-Day.
La cryptographie est dans toutes les parties
L’un des maires est la fragmentation de l’écosystème cryptographique : la majorité des organisations utilisent la cryptographie de différents fournisseurs dans divers endroits, en excluant tant de serveurs sur site que des services dans le noyau et les systèmes de production et de préproduction/évaluation. Dans les grandes entreprises, fruits de fusions et d’acquisitions, la fragmentation de cet écosystème peut être particulièrement grave.
De plus, il y a un problème qui affecte les systèmes informatiques de l’organisation et les appareils connectés. Si bien que la majorité des navigateurs soutiennent PQC, de nombreux appareils IoT, des lecteurs de cartes intelligents et d’autres systèmes d’accès sont également disponibles. Il est également possible que certains de ces appareils n’acceptent pas les mises à jour OTA (Over-the-Air).
Dans la plupart des cas, les développeurs ont mis en œuvre la cryptographie de forme ad hoc ; il n’existe pas de registre central indiquant quels systèmes sont utilisés et dónde. De plus, les certificats numériques doivent être codifiés directement sur une application ou un appareil logiciel, ce qui rend difficile leur modification. Ces problèmes sont même aggravés par le fait que les équipes DevSecOps ne comprennent généralement pas la cryptographie, alors que les ingénieurs avec plus d’expérience ont été jubilés ou sont très occupés et soutiennent des systèmes hérités.
¿Por dónde empezar y qué priorizar?
Comment préparer le jour Q ? La première étape consiste à former un équipement dédié à la création d’un inventaire cryptographique qui enregistre les bibliothèques, les certificats et les clés qui utilisent tous les systèmes. Malheureusement, la grande partie de ce travail doit être effectuée manuellement, car il n’existe pas d’outils automatisés de capacité d’audit pour compléter la cryptographie d’une organisation. Une grande entreprise doit attendre un an pour construire cet inventaire cryptographique.
La préparation au Jour Q va bien plus loin d’un problème de réglementation; c’est un problème de réputation et de continuité du commerce
Lors de la mise en œuvre de PQC, il est important de protéger les applications de mission critique et les données avec une longue période de couverture : les données qui seront considérées comme sensibles et, par conséquent, valiosos pour les hackers après 2029. Certaines données, comme les historiques médicaux, peuvent avoir une période de couverture indéfiniment, pendant que d’autres, comme les numéros de cartes de crédit, peuvent avoir une période de couverture de uns quelques années.
Il est également nécessaire de donner la priorité aux plates-formes héritées, comme celles qui ne sont pas compatibles avec TLS 1.3, la version la plus sûre de ce protocole et nécessaire pour activer les codes PQC. Il est important que les développeurs intègrent une gestion solide du cycle de vie des certifiés et une agilité cryptographique dans leurs processus d’intégration/entrée continue.
Dans les organisations aux ressources très limitées, comme le secteur public, la cryptographie post-actuelle peut être mise en œuvre simultanément avec d’autres mises à jour informatiques. Par exemple, si vous actualisez l’application Web et la protection de l’API (WAAP) ou les systèmes de gestion des identités et d’accès, il est possible d’actualiser simultanément le code PQC correspondant.
Se préparer au Q-Day est une priorité stratégique et un exercice qui nécessite beaucoup de temps et de ressources, mais qui est le meilleur à ne pas proposer. Avant de s’en charger, les maires auront les possibilités de protéger la réputation de l’organisation.
David Warburton, directeur de F5 Labs
