🌍 Bienvenue dans le monde merveilleux du quantique
Heu la crypto post-quantique, ça vous parle ? Pendant que les géants de la tech s’amusent à développer des IA capables d’inverser des vis sur Mars ou de confondre un canard avec un grille-pain, l’Union européenne se réveille, en sueur, hantée par un futur où un ordinateur quantique chinois pourrait casser RSA-2048 entre deux parties de Mahjong. Et comme on aime les comités et les feuilles Excel chez nous, la Commission a pondu une recommandation officielle : « Feuille de route coordonnée pour la transition vers la cryptographie post-quantique« . Rien que ça.
Oui, une feuille de route. Parce que comme chacun sait, la meilleure manière de contrer une menace cryptographique planétaire, c’est avec un Gantt. Et une bonne dose de PowerPoint.
🔢 La grande feuille de route coordonnĂ©e – aussi claire qu’un audit RGPD chez les pompiers
La Commission européenne, avec son amour du consensus mou et des deadlines mouvantes, propose un plan en trois temps :
- 2024-2025 : Audit de tout ce qui chiffre. Spoiler : personne ne sait rĂ©ellement ce qui chiffre quoi dans son SI. Le service juridique pense que TLS, c’est un modèle de CitroĂ«n. Le responsable infra confond AES avec une assurance auto, et le DAF pense que PKI, c’est une crypto-monnaie.
- 2025-2027 : Expérimentations et crypto hybride. C’est-à -dire qu’on va prendre deux algos (un vieux classique, un nouveau post-quantique), les coller ensemble, les secouer très fort et espérer que ça passe. L’équivalent cryptographique d’une ceinture ET des bretelles, portées sur un jogging.
- 2027-2030 : Migration effective. En théorie. Parce qu’en pratique, migrer tout un continent vers des algorithmes encore instables, sans documentation claire et sans compétence locale, c’est comme installer Arch Linux chez mamie. Avec les mains attachées. Et un bandeau sur les yeux.
Le tout supervisé par l’ENISA, notre agence européenne de la cybersécurité, qui doit coordonner 27 pays, 43 dialectes techniques, 3 fuseaux horaires et une poignée d’élus qui confondent quantum computing et Quantum of Solace.
Objectivement, le plan a le mĂ©rite d’exister. Mais comme souvent, entre la bonne intention politique et la rĂ©alitĂ© du terrain… il y a une forĂŞt, un marais, un volcan et deux administrations.
💰 Conséquences à court et moyen terme pour les entreprises : Bonjour l’angoisse
Vous pensiez que la mise en conformité RGPD était un cauchemar ? Attendez de voir la PQC. Parce que pour les entreprises, cela signifie :
- Audit complet des usages cryptographiques : mails, backups, tunnels VPN, bases de donnĂ©es, signatures numĂ©riques, badgeuses RFID, tĂ©lĂ©copieurs Ă jet d’encre, horodateurs intelligents… Spoiler : 80% des entreprises ne savent pas oĂą elles utilisent des certificats. Parfois, mĂŞme les systèmes les plus critiques reposent sur des scripts Bash crĂ©Ă©s en 2004, jamais documentĂ©s, et signĂ©s avec des clĂ©s de 512 bits.
- Recertification de toute la pile de sĂ©curitĂ© : adieu les certificats X.509 classiques. Bonjour les nouveaux formats… incompatibles avec la moitiĂ© des appliances en production. L’équipe rĂ©seau ? En panique. Le support ? En grève. Le RSSI ? Sous Lexomil.
- Nouveaux matériels HSM pour les clés de 2 Mo. Non, votre YubiKey ne tiendra pas un CRYSTALS-Dilithium. Il va falloir investir dans des dongles USB de la taille d’une brique ou stocker les clés sur des NAS en RAID 10. En espérant que ça passe les pare-feu.
- Changement de protocoles : TLS 1.3 ne suffira plus. S/MIME à réinventer. OpenPGP dans les choux. SSH à recompiler. Même votre imprimante risque de planter en tentant de vérifier une signature SPHINCS+. Sans parler des applications métier codées en Visual Basic par le neveu du patron en 2007.
- Et surtout, personne ne comprend encore vraiment les nouveaux algorithmes. Kyber ? Dilithium ? Sphincs+ ? On dirait un casting de Game of Thrones. Et chaque implémentation est un saut dans l’inconnu mémoriel, avec documentation en Klingon.
đź“– ISO, NIST, ETSI : le carnaval des normes
Alors que le NIST a enfin terminĂ© sa sĂ©lection d’algos post-quantiques (après une compĂ©tition digne de la Star Ac’ pour cryptographes), l’ISO commence Ă dĂ©cliner ça en 62 documents, 412 pages chacun, avec des annexes en Klingon, des diagrammes UML que mĂŞme ChatGPT refuse d’interprĂ©ter, et des schĂ©mas de dĂ©pendances circulaires.
L’ETSI, de son côté, veut s’assurer que tous les objets connectés de l’UE (même les balances connectées de Lidl) soient compatibles avec la PQC d’ici 2030. Parce qu’évidemment, un frigo doit résister à une attaque quantique. Imaginez la honte de se faire p0wner son congélo par un ado chinois avec un ordinateur quantique portatif.
Quant Ă l’Europe, elle suit le NIST, mais avec des pincettes souverainistes. L’autonomie stratĂ©gique, c’est important. Sauf quand il faut comprendre la crypto. Alors on sous-traite Ă l’ANSSI ou Ă des cabinets privĂ©s qui bossent avec la NSA.
🛡️ Retour du contrôle étatique sur la crypto ? Mais bien sûr.
Petit flashback : dans les années 90, utiliser une clé RSA de plus de 1024 bits vous faisait passer pour un agent double. La crypto était considérée comme matériel militaire. Vous pouviez chiffrer votre disque dur, mais pas trop fort, sinon les douanes vous regardaient de travers.
Devinez quoi ? On y revient. Lentement. Sournoisement.
Avec la PQC, l’UE envisage d’homologuer les algorithmes autorisés. Et de n’autoriser que ceux passés par la moulinette de la Commission. Implémenter votre propre version de Kyber ? Risque de contravention européenne. Distribuer un algo maison ? Interdit. Utiliser une clé sans certificat officiel ? Rejeté par la douane.
On imagine déjà les directives :
« Toute entité utilisant un algorithme non listé dans l’annexe 3.7.5 du règlement (UE) PQC-TRUST-999 devra se mettre en conformité sous 30 jours sous peine de blocage systématique par les pare-feux européens. »
Bienvenue dans l’ère du crypto-protectionnisme. La version blockchain-compatible du contrôle des changes.
📉 Conclusion : une rĂ©volution nĂ©cessaire… et dĂ©jĂ ingĂ©rable
Oui, la menace quantique est rĂ©elle. Oui, il faut anticiper. Oui, ça fait sens de penser au futur. Mais la mĂ©thode europĂ©enne a le goĂ»t amer d’une politique Ă la fois hypercentralisĂ©e et hors sol. On parle de coordonner des dizaines de milliers de systèmes, avec des technologies non matures, des capacitĂ©s de traitement non adaptĂ©es, et un marchĂ© du travail qui peine Ă recruter des gens capables d’Ă©peler SPHINCS+ sans bĂ©gayer.
On veut imposer à tous des standards encore en évolution, avec des technologies instables, sans compétence en interne, et avec des calendriers pensés par des gens qui pensent que « p256 » est un modèle de Peugeot.
Alors oui, il faudra s’y mettre. Mais en attendant, préparez vos budgets, vos cachets de paracétamol, vos planches de Klingon et vos manuels de normes ISO : la PQC arrive, et ça va piquer. Fort.
Article publiĂ© sur SecuSlice. Si vous avez aimĂ©, partagez-le. Si vous n’avez pas compris, demandez Ă votre RSSI. S’il n’a pas compris non plus, appelez un cryptologue. Il rira. Jaune.
ET voici le lien ce l’EU : Recommendation on a Coordinated Implementation Roadmap for the transition to Post-Quantum Cryptography
