La stratégie Quantum-Readiness: Migration to Post-Quantum Cryptography [1], rédigée conjointement par le CISA (Cybersecurity and Infrastructure Security Agency), le NIST (National Institute of Standards and Technology) et la NSA (National Security Agency), s’adresse aux organisations publiques et privées et les enjoint à se préparer aux menaces qui pèsent sur les réseaux et systèmes non robustes à l’ordinateur quantique. Le sujet, encore évoqué lors du bilan des 5 premières années de stratégie quantique nationale au Congrès [2], est un enjeu considérable de sécurité nationale pour de nombreux pays et les Etats-Unis prennent très au sérieux la question. L’heure est à la prise en main des questions liées aux technologies critiques par le gouvernement fédéral [3,4,5] et cette parution ne surprend pas. Ces conseils s’inscrivent justement dans la chronologie voulue par l’administration Biden qui requiert des agences gouvernementales qu’elles soient aux normes de cryptographie post-quantique (CPQ) d’ici à 2035.
Le NIST travaille à publier en 2024 [6] un premier ensemble de standards en CPQ (3 algorithmes en particulier) pour prévenir de potentielles attaques cyber d’ordinateurs quantiques qui mettraient à mal la cryptographie actuelle. Cette dernière, rappelle le document, repose en grande partie sur des algorithmes à clé publique, dits de cryptographie asymétrique (RSA, ACDH, ACDSA, etc.) qui devront être remplacés ou largement modifiés pour y faire face. Préparer le passage à ces systèmes crypto-résistants dès maintenant est aussi crucial dans la mesure où les auteurs d’attaques cyber pourraient cibler aujourd’hui des données qui nécessitent une longue durée de secret en utilisant une opération de harvest now, decrypt later.
Le document appelle ses destinataires à commencer dès maintenant à faire un inventaire de leurs vulnérabilités CPQ avec les niveaux critiques associés ainsi qu’à établir leur chronologie de migration vers la CPQ. Une attention particulière est portée au protocoles réseaux, serveurs, programmes et librairies associées. Elle met aussi l’emphase sur l’étroite communication que les organisations publiques concernées doivent entretenir avec les fournisseurs de technologie. Une communication bien dans la lignée d’une réflexion de l’administration actuelle sur la promotion du partenariat public-privé. Ces fournisseurs doivent présenter des listes de leurs produits contenant de la cryptographie embarquée, et s’attendre à être questionnés sur leur manière d’appréhender la migration vers la CPQ.
Références:
[1] Recommandations CPQ, 21 août
[2] Bilan au Congrès de 5 ans de stratégie quantique nationale, 6 juillet
[3] Publication d’une stratégie cyber nationale régulatrice et organisatrice, 8 mars
[4] Lancement de la National Artificial Intelligence Research Ressource, 8 mars
[5] Nouvelle ligne directrice pour revitaliser le rôle des standards américains en technologies émergentes, 7 juin
[6] NIST to Standardize Encryption Algorithms That Can Resist Attack by Quantum Computers, 6 août
Rédacteur : Antoine Glory, Chargé de mission pour la Science et la Technologie, Ambassade de France à Washington D.C., [email protected].
