đ Bienvenue dans le monde merveilleux du quantique
Heu la crypto post-quantique, ça vous parle ? Pendant que les gĂ©ants de la tech sâamusent Ă dĂ©velopper des IA capables dâinverser des vis sur Mars ou de confondre un canard avec un grille-pain, lâUnion europĂ©enne se rĂ©veille, en sueur, hantĂ©e par un futur oĂč un ordinateur quantique chinois pourrait casser RSA-2048 entre deux parties de Mahjong. Et comme on aime les comitĂ©s et les feuilles Excel chez nous, la Commission a pondu une recommandation officielle : « Feuille de route coordonnĂ©e pour la transition vers la cryptographie post-quantique« . Rien que ça.
Oui, une feuille de route. Parce que comme chacun sait, la meilleure maniĂšre de contrer une menace cryptographique planĂ©taire, câest avec un Gantt. Et une bonne dose de PowerPoint.
đą La grande feuille de route coordonnĂ©e â aussi claire qu’un audit RGPD chez les pompiers
La Commission européenne, avec son amour du consensus mou et des deadlines mouvantes, propose un plan en trois temps :
- 2024-2025 : Audit de tout ce qui chiffre. Spoiler : personne ne sait rĂ©ellement ce qui chiffre quoi dans son SI. Le service juridique pense que TLS, câest un modĂšle de CitroĂ«n. Le responsable infra confond AES avec une assurance auto, et le DAF pense que PKI, c’est une crypto-monnaie.
- 2025-2027 : ExpĂ©rimentations et crypto hybride. Câest-Ă -dire quâon va prendre deux algos (un vieux classique, un nouveau post-quantique), les coller ensemble, les secouer trĂšs fort et espĂ©rer que ça passe. LâĂ©quivalent cryptographique dâune ceinture ET des bretelles, portĂ©es sur un jogging.
- 2027-2030 : Migration effective. En thĂ©orie. Parce quâen pratique, migrer tout un continent vers des algorithmes encore instables, sans documentation claire et sans compĂ©tence locale, câest comme installer Arch Linux chez mamie. Avec les mains attachĂ©es. Et un bandeau sur les yeux.
Le tout supervisĂ© par lâENISA, notre agence europĂ©enne de la cybersĂ©curitĂ©, qui doit coordonner 27 pays, 43 dialectes techniques, 3 fuseaux horaires et une poignĂ©e dâĂ©lus qui confondent quantum computing et Quantum of Solace.
Objectivement, le plan a le mĂ©rite dâexister. Mais comme souvent, entre la bonne intention politique et la rĂ©alitĂ© du terrain… il y a une forĂȘt, un marais, un volcan et deux administrations.
đ° ConsĂ©quences Ă court et moyen terme pour les entreprises : Bonjour lâangoisse
Vous pensiez que la mise en conformité RGPD était un cauchemar ? Attendez de voir la PQC. Parce que pour les entreprises, cela signifie :
- Audit complet des usages cryptographiques : mails, backups, tunnels VPN, bases de donnĂ©es, signatures numĂ©riques, badgeuses RFID, tĂ©lĂ©copieurs Ă jet dâencre, horodateurs intelligents… Spoiler : 80% des entreprises ne savent pas oĂč elles utilisent des certificats. Parfois, mĂȘme les systĂšmes les plus critiques reposent sur des scripts Bash crĂ©Ă©s en 2004, jamais documentĂ©s, et signĂ©s avec des clĂ©s de 512 bits.
- Recertification de toute la pile de sĂ©curitĂ© : adieu les certificats X.509 classiques. Bonjour les nouveaux formats… incompatibles avec la moitiĂ© des appliances en production. LâĂ©quipe rĂ©seau ? En panique. Le support ? En grĂšve. Le RSSI ? Sous Lexomil.
- Nouveaux matĂ©riels HSM pour les clĂ©s de 2 Mo. Non, votre YubiKey ne tiendra pas un CRYSTALS-Dilithium. Il va falloir investir dans des dongles USB de la taille dâune brique ou stocker les clĂ©s sur des NAS en RAID 10. En espĂ©rant que ça passe les pare-feu.
- Changement de protocoles : TLS 1.3 ne suffira plus. S/MIME Ă rĂ©inventer. OpenPGP dans les choux. SSH Ă recompiler. MĂȘme votre imprimante risque de planter en tentant de vĂ©rifier une signature SPHINCS+. Sans parler des applications mĂ©tier codĂ©es en Visual Basic par le neveu du patron en 2007.
- Et surtout, personne ne comprend encore vraiment les nouveaux algorithmes. Kyber ? Dilithium ? Sphincs+ ? On dirait un casting de Game of Thrones. Et chaque implĂ©mentation est un saut dans lâinconnu mĂ©moriel, avec documentation en Klingon.
đ ISO, NIST, ETSI : le carnaval des normes
Alors que le NIST a enfin terminĂ© sa sĂ©lection dâalgos post-quantiques (aprĂšs une compĂ©tition digne de la Star Ac’ pour cryptographes), lâISO commence Ă dĂ©cliner ça en 62 documents, 412 pages chacun, avec des annexes en Klingon, des diagrammes UML que mĂȘme ChatGPT refuse dâinterprĂ©ter, et des schĂ©mas de dĂ©pendances circulaires.
LâETSI, de son cĂŽtĂ©, veut sâassurer que tous les objets connectĂ©s de lâUE (mĂȘme les balances connectĂ©es de Lidl) soient compatibles avec la PQC dâici 2030. Parce quâĂ©videmment, un frigo doit rĂ©sister Ă une attaque quantique. Imaginez la honte de se faire p0wner son congĂ©lo par un ado chinois avec un ordinateur quantique portatif.
Quant Ă lâEurope, elle suit le NIST, mais avec des pincettes souverainistes. Lâautonomie stratĂ©gique, câest important. Sauf quand il faut comprendre la crypto. Alors on sous-traite Ă l’ANSSI ou Ă des cabinets privĂ©s qui bossent avec la NSA.
đĄïž Retour du contrĂŽle Ă©tatique sur la crypto ? Mais bien sĂ»r.
Petit flashback : dans les années 90, utiliser une clé RSA de plus de 1024 bits vous faisait passer pour un agent double. La crypto était considérée comme matériel militaire. Vous pouviez chiffrer votre disque dur, mais pas trop fort, sinon les douanes vous regardaient de travers.
Devinez quoi ? On y revient. Lentement. Sournoisement.
Avec la PQC, lâUE envisage dâhomologuer les algorithmes autorisĂ©s. Et de nâautoriser que ceux passĂ©s par la moulinette de la Commission. ImplĂ©menter votre propre version de Kyber ? Risque de contravention europĂ©enne. Distribuer un algo maison ? Interdit. Utiliser une clĂ© sans certificat officiel ? RejetĂ© par la douane.
On imagine déjà les directives :
« Toute entitĂ© utilisant un algorithme non listĂ© dans lâannexe 3.7.5 du rĂšglement (UE) PQC-TRUST-999 devra se mettre en conformitĂ© sous 30 jours sous peine de blocage systĂ©matique par les pare-feux europĂ©ens. »
Bienvenue dans lâĂšre du crypto-protectionnisme. La version blockchain-compatible du contrĂŽle des changes.
đ Conclusion : une rĂ©volution nĂ©cessaire… et dĂ©jĂ ingĂ©rable
Oui, la menace quantique est rĂ©elle. Oui, il faut anticiper. Oui, ça fait sens de penser au futur. Mais la mĂ©thode europĂ©enne a le goĂ»t amer dâune politique Ă la fois hypercentralisĂ©e et hors sol. On parle de coordonner des dizaines de milliers de systĂšmes, avec des technologies non matures, des capacitĂ©s de traitement non adaptĂ©es, et un marchĂ© du travail qui peine Ă recruter des gens capables d’Ă©peler SPHINCS+ sans bĂ©gayer.
On veut imposer à tous des standards encore en évolution, avec des technologies instables, sans compétence en interne, et avec des calendriers pensés par des gens qui pensent que « p256 » est un modÚle de Peugeot.
Alors oui, il faudra sây mettre. Mais en attendant, prĂ©parez vos budgets, vos cachets de paracĂ©tamol, vos planches de Klingon et vos manuels de normes ISO : la PQC arrive, et ça va piquer. Fort.
Article publiĂ© sur SecuSlice. Si vous avez aimĂ©, partagez-le. Si vous n’avez pas compris, demandez Ă votre RSSI. S’il n’a pas compris non plus, appelez un cryptologue. Il rira. Jaune.
ET voici le lien ce l’EU : Recommendation on a Coordinated Implementation Roadmap for the transition to Post-Quantum Cryptography
