Lecture: 8 min.
Cloudflare accélère sa feuille de route post-quantique. Notre objectif est désormais que l’année 2029 soit celle de la sécurité post-quantique (PQ) intégrale, notamment (et surtout) avec l’authentification post-quantique.
Chez Cloudflare, nous avons à cœur de rendre l’Internet confidentiel et sécurisé par défaut. Nous avons commencé par proposer des certificats SSL universels gratuits en 2014, nous avons commencé à préparer notre migration post-quantique en 2019, puis nous avons activé le chiffrement post-quantique pour tous les sites web et les API en 2022, afin d’atténuer les attaques de type « collecter maintenant/déchiffrer plus tard ». Si nous nous réjouissons de constater que plus de 65 % du trafic humain acheminé vers Cloudflare est chiffré avec un algorithme post-quantique, notre travail restera inachevé tant que l’authentification n’aura pas bénéficié d’une mise à niveau, elle aussi. De nouvelles études fiables et la rapidité des évolutions du secteur laissent penser que l’échéance de cette migration est beaucoup plus proche que prévu. Il s’agit là d’un défi que toutes les entreprises doivent relever avec urgence ; c’est pourquoi nous accélérons notre calendrier interne de préparation à l’événement Q-Day.
Que s’est-il passé ? La semaine dernière, Google a annoncé avoir considérablement amélioré l’algorithme quantique permettant de briser les systèmes de cryptographie sur les courbes elliptiques, largement utilisés pour sécuriser Internet. L’entreprise n’a pas révélé l’algorithme, mais a fourni une preuve à divulgation nulle de connaissance qu’elle en possède un.
Et il ne s’agit même pas là de la plus grande avancée révolutionnaire. Le même jour, Oratomic a publié une estimation des ressources nécessaires pour briser les systèmes cryptographiques RSA-2048 et P-256 sur un ordinateur à atomes neutres. Pour P-256, cela nécessite un nombre incroyablement faible de 10 000 qubits seulement. On comprend désormais pourquoi Google a récemment annoncé son intention de se lancer également dans la recherche sur les technologies à atomes neutres, parallèlement aux ordinateurs quantiques supraconducteurs. Bien qu’Oratomic explique son approche fondamentale, l’entreprise omet néanmoins intentionnellement certains détails essentiels.
Ces avancées indépendantes ont incité Google à avancer son calendrier de migration vers l’informatique post-quantique à l’horizon 2029. Par ailleurs, dans son communiqué et d’autres interventions également, Google a accordé la priorité à l’authentification quantique sécurisée plutôt qu’à l’atténuation des attaques de type « collecter maintenant/déchiffrer plus tard » (« Harvest-Now/Decrypt-Later, HNDL). Comme nous l’examinerons ci-dessous, cette priorité indique que Google craint que l’échéance Q-Day puisse survenir dès 2030. À la suite de ces annonces, le directeur technique d’IBM Quantum Safe s’est montré plus pessimiste, n’excluant pas la possibilité « d’attaques quantiques ambitieuses » contre des cibles de grande valeur dès 2029.
La menace quantique est bien connue : Q-Day désigne le jour où des ordinateurs quantiques suffisamment puissants se montreront capables de briser les systèmes cryptographiques essentiels utilisés pour protéger les données et les accès sur les systèmes actuels. Les ordinateurs quantiques cryptographiquement compétents (« Cryptographically Relevant Quantum Computer », CRQC) n’existent pas encore, mais de nombreux laboratoires dans le monde explorent différentes approches de leur construction. Encore récemment, les avancées concernant les systèmes CRQC étaient pour l’essentiel rendues publiques, mais rien ne laisse présager que cela perdurera. En effet, tout porte à croire que les progrès futurs seront occultés au grand public. Scott Aaronson, scientifique en informatique quantique, a émis cette mise en garde à la fin de l’année 2025 :
À un moment donné, les personnes qui établissent des estimations détaillées du nombre de qubits physiques et de portes logiques nécessaires pour briser les systèmes cryptographiques actuellement déployés utilisant l’algorithme de Shor cesseront de publier ces estimations, ne serait-ce que pour éviter de divulguer un trop grand nombre d’informations aux adversaires. Et, pour autant que nous le sachions, ce stade est peut-être déjà dépassé.
En effet, ce stade est désormais bel et bien dépassé.
Pourquoi maintenant : des avancées autonomes sur trois fronts
Nous aimerions expliquer brièvement pourquoi il est difficile d’anticiper les progrès accomplis dans le domaine de l’informatique quantique. De véritables « bonds quantiques » dans la compréhension, comme celui dont nous avons été témoins la semaine dernière, peuvent être effectués, même lorsque tout se déroule sous les yeux du public. En termes simples, briser un système cryptographique à l’aide d’un ordinateur quantique exige de mener des travaux de développement sur trois fronts indépendants : le matériel quantique, la correction d’erreurs et les logiciels quantiques. Les progrès réalisés sur chaque front renforcent ceux accomplis sur les autres.
Le matériel. Il existe de nombreuses approches concurrentes. Nous avons évoqué les atomes neutres et les qubits supraconducteurs, mais il existe également les pièges à ions, les qubits photoniques et des projets ambitieux, tels que les qubits topologiques. Certaines approches complémentaires peuvent même être associées. La plupart de ces approches sont mises en œuvre par plusieurs laboratoires à travers le monde. Elles présentent toutes une longue liste de défis et de problèmes techniques distincts restant à résoudre et, il y a encore quelques années, il était difficile de savoir si l’une de ces approches pourrait un jour être mise en œuvre à grande échelle. Aujourd’hui, des progrès considérables ont été accomplis dans la plupart de ces domaines. Cependant, aucune de ces technologies n’a encore démontré sa capacité à être déployée à grande échelle : si c’était le cas, il ne nous resterait même plus quelques années avant l’échéance. Ces approches sont désormais beaucoup plus proches, toutefois, en particulier celle concernant les atomes neutres. Pour ignorer ce progrès, il faudrait croire que chaque approche se heurtera inéluctablement à un mur.
Correction des erreurs. Tous les ordinateurs quantiques sont sujets au bruit et nécessitent des codes de correction des erreurs pour exécuter des calculs pertinents. Cela génère une surcharge de traitement supplémentaire non négligeable, même si l’ampleur dépend de l’architecture. Plus le bruit est présent, plus la correction d’erreurs requise est importante ; toutefois, plus intéressant encore, l’amélioration de la connectivité des qubits permet d’obtenir des codes beaucoup plus efficaces. Pour vous donner un ordre de grandeur, il faut généralement environ un millier de qubits physiques pour un qubit logique dans les ordinateurs quantiques supraconducteurs, qui sont sujets au bruit et ne disposent que d’une connectivité entre qubits voisins. Nous savons que les « qubits reconfigurables », tels que ceux des machines à atomes neutres, permettent d’améliorer considérablement l’efficacité des codes de correction d’erreurs. Étonnamment, Oratomic a démontré que cet avantage est encore plus important : seuls 3 ou 4 qubits d’atomes neutres physiques sont nécessaires par qubit logique.
Les logiciels. Enfin, les algorithmes quantiques permettant de briser les systèmes cryptographiques peuvent être améliorés. Il s’agit là de l’avancée révolutionnaire de Google : ils ont massivement accéléré l’algorithme permettant de déchiffrer le système cryptographique P-256. Oratomic a par ailleurs présenté d’autres optimisations spécifiques à l’architecture pour les qubits reconfigurables.
Le tableau se précise : en 2025, les atomes neutres se sont révélés plus évolutifs que prévu, et aujourd’hui, Oratomic a compris comment créer des codes de correction d’erreurs considérablement plus performants avec ces qubits hautement connectés. Par ailleurs, briser le système cryptographique P-256 demande beaucoup moins d’efforts. Il en résulte que la date du Q-Day a été considérablement avancée par rapport aux prévisions habituelles au-delà de 2035, les atomes neutres arrivant en tête, suivis de près par d’autres approches.
Dans des articles de blog précédents, nous avons examiné comment les différents ordinateurs quantiques se mesurent, au regard du nombre de qubits physiques et de la fidélité, par rapport à l’objectif conservateur de briser le système cryptographique RSA-2048 sur une architecture à qubits supraconducteurs. Cette analyse nous donne une idée approximative du temps dont nous disposons, et elle est certainement meilleure que le suivi des records de factorisation quantique ; toutefois, elle ne tient pas compte des optimisations spécifiques à l’architecture ni des améliorations logicielles. Il convient désormais de surveiller le moment où les dernières fonctionnalités manquantes de chaque architecture seront mises en œuvre.
L’heure est venue de se concentrer sur l’authentification
Historiquement, l’intérêt porté par le secteur à la cryptographie post-quantique (Post-Quantum Cryptography, PQC) se concentrait principalement sur le chiffrement post-quantique, qui permet d’arrêter les attaques de type « collecter maintenant, déchiffrer plus tard » (« Harvest Now/Decrypt Later », HNDL). Lors d’une attaque HNDL, un acteur malveillant collecte aujourd’hui du trafic réseau sensible chiffré, qu’il stocke jusqu’à ce qu’il puisse, à une date ultérieure, utiliser un ordinateur quantique puissant pour déchiffrer les données recueillies. Les attaques HNDL constituent la principale menace tant que le Q-Day reste encore une échéance lointaine. C’est pourquoi, jusqu’à présent, nous nous sommes attachés à atténuer ce risque, en intégrant par défaut le chiffrement post-quantique dans nos produits depuis 2022. Aujourd’hui, comme nous l’avons indiqué plus haut, la plupart des produits Cloudflare sont sécurisés contre les attaques HNDL, et nous nous employons à mettre à niveau les autres en ce moment même.
L’autre catégorie d’attaques cible l’authentification : des adversaires disposant d’ordinateurs quantiques opérationnels se font passer pour des serveurs ou falsifient des identifiants d’accès. Tant que l’échéance Q-Day reste encore lointaine, l’authentification n’est pas urgente : le déploiement de certificats et de signatures post-quantiques n’ajoute aucune valeur, mais uniquement une charge de travail supplémentaire.
À l’inverse, une échéance Q-Day imminente viendrait bouleverser la donne : les fuites de données seraient graves, mais une faille dans l’authentification serait catastrophique. Toute clé de connexion à distance vulnérable aux attaques quantiques qui aurait été négligée deviendrait un point d’accès permettant à un acteur malveillant de faire ce qu’il souhaite, qu’il s’agisse d’extorquer des fonds ou de paralyser ou d’espionner votre système. Tout mécanisme de mise à jour automatique des logiciels deviendrait un vecteur d’exécution de code à distance. Pour un acteur malveillant actif exploitant l’informatique quantique, c’est un jeu d’enfant : il lui suffit de trouver une seule clé de confiance vulnérable à l’informatique quantique pour s’introduire dans le système.
Lorsque les experts du développement d’ordinateurs quantiques commenceront à appliquer des correctifs aux systèmes d’authentification, nous aurons tous intérêt à prêter attention. La question n’est plus « Quand nos données chiffrées seront-elles menacées ? », mais « Combien de temps avant qu’un acteur malveillant ne franchisse la porte d’entrée avec une clé factice générée par un ordinateur quantique ? ».
Prioriser les systèmes les plus vulnérables
Si les ordinateurs quantiques font leur apparition dans les prochaines années, ils seront rares et coûteux. Les acteurs malveillants privilégieront les cibles de grande valeur, telles que les clés à longue durée de vie permettant d’accéder à des ressources considérables ou d’obtenir un accès persistant, notamment les certificats racine, les clés d’authentification d’API et les certificats de signature de code. Un acteur malveillant qui parviendrait à compromettre l’une de ces clés conserverait un accès illimité jusqu’à ce qu’il soit démasqué ou que cette clé soit révoquée.
Cela suggère que les clés à longue durée de vie seront probablement ciblées en priorité. Ce sera certainement vrai si l’attaque quantique d’une clé unique s’avère être un processus coûteux et lent, ce qui sera vraisemblablement le cas pour la première génération d’ordinateurs quantiques à atomes neutres. Ce ne sera, en revanche, pas le cas pour les ordinateurs quantiques supraconducteurs évolutifs et les générations ultérieures d’ordinateurs quantiques à atomes neutres, qui pourraient parvenir à déchiffrer les clés beaucoup plus rapidement. Ces systèmes CRQC rapides changeraient une nouvelle fois la donne, et un adversaire qui disposerait d’un tel ordinateur pourrait se concentrer exclusivement sur des attaques HNDL, afin que ses actions restent indétectables. Sophie Schmieg de Google compare ce scénario à la cryptanalyse d’Enigma, qui a renversé le cours de la Seconde Guerre mondiale.
Il ne suffit pas d’ajouter la prise en charge de la cryptographie post-quantique. Pour être protégés contre les attaques par rétrogradation, les systèmes doivent désactiver la prise en charge de la cryptographie vulnérable aux attaques quantiques. Dans les systèmes plus vastes, notamment les systèmes fédérés, tels que le web, cela n’est pas envisageable, car tous les clients (navigateurs) ne prennent pas en charge les certificats post-quantiques, et les serveurs doivent continuer à assurer la prise en charge de ces clients traditionnels. Cependant, il est toujours possible d’assurer la protection contre la rétrogradation pour le protocole HTTPS en utilisant « PQ HSTS » et/ou la transparence des certificats.
La désactivation de la cryptographie vulnérable aux ordinateurs quantiques n’est pas la dernière étape : une fois cette opération effectuée, tous les secrets, tels que les mots de passe et les jetons d’accès précédemment exposés dans le système vulnérable aux ordinateurs quantiques doivent être renouvelés. Contrairement au chiffrement post-quantique, qui nécessite la mise en œuvre d’une initiative de grande ampleur, la migration vers l’authentification post-quantique comporte une longue chaîne de dépendances, sans même parler de la validation par des tiers et de la surveillance des fraudes. Il s’agit d’une évolution qui demandera des années, plutôt que des mois.
Il est tout à fait naturel que les entreprises qui lisent ces lignes se précipitent dans une réflexion sur les systèmes internes qu’elles doivent mettre à niveau. Toutefois, l’histoire ne s’arrête pas là. Le Q-Day menace tous les systèmes. Il est donc important de bien comprendre l’impact d’un éventuel Q-Day sur les dépendances tierces, qu’elles soient directes ou indirectes. Cela ne concerne pas uniquement les tiers avec lesquels vous communiquez via des systèmes cryptographiques, mais également tous les tiers qui représentent des dépendances commerciales essentielles, tels que les services financiers et les services publics.
À l’approche du Q-Day, dont l’échéance a été avancée, l’authentification post-quantique est devenue une priorité absolue. Les clés à long terme doivent être mises à niveau en priorité. En raison de la complexité des chaînes de dépendances et du fait que toutes les entreprises font appel à des fournisseurs tiers, cette évolution demandera des années, plutôt que des mois. Il ne suffit pas d’adopter à la cryptographie post-quantique : pour éviter les rétrogradations, il est également nécessaire de désactiver la cryptographie vulnérable à l’informatique quantique.
La feuille de route de Cloudflare vers la sécurité post-quantique
Aujourd’hui, Cloudflare propose un chiffrement post-quantique pour la majorité de ses produits, permettant ainsi d’atténuer les risques d’attaques de type « collecter maintenant, déchiffrer plus tard ». C’est le fruit d’un travail que nous avons commencé il y a plus de dix ans, afin de protéger nos clients et l’Internet au sens large.
Notre objectif est d’assurer, d’ici 2029, une sécurité post-quantique intégrale, incluant notamment l’authentification, pour l’ensemble de notre gamme de produits. Nous vous présentons ici quelques échéances intermédiaires que nous avons définies, qui sont susceptibles d’évoluer à mesure que notre compréhension des risques et des difficultés liées au déploiement progresse.
Pour les entreprises, nous recommandons de considérer la prise en charge de l’informatique post-quantique comme une condition préalable à tout achat. Les bonnes pratiques courantes, telles que la mise à jour régulière des logiciels et l’automatisation de la délivrance des certificats, sont particulièrement pertinentes et vous permettront de réaliser des progrès considérables. Nous vous recommandons d’évaluer, le plus rapidement possible, les fournisseurs essentiels afin de comprendre les implications potentielles de leur inaction sur votre entreprise.
Pour les organismes de réglementation et les pouvoirs publics, jusqu’à présent, l’établissement d’échéances précoces a joué un rôle crucial dans les progrès réalisés à l’échelle du secteur. Nous nous trouvons aujourd’hui à un tournant décisif, où la fragmentation des normes et des initiatives, tant entre les juridictions qu’au sein de celles-ci, pourrait compromettre les progrès accomplis. Nous recommandons aux pouvoirs publics de désigner une agence dirigeante et de doter celle-ci d’une autorité suffisante, afin de coordonner la migration conformément à un calendrier précis, d’assurer une vigilance quant aux problématiques de sécurité et de promouvoir l’application des normes internationales existantes. Sans céder à la panique, les pouvoirs publics doivent diriger la migration avec confiance.
Pour les clients de Cloudflare, en ce qui concerne nos services, aucune mesure corrective n’est nécessaire de votre part. Nous suivons de près les dernières avancées en matière d’informatique quantique et prenons des mesures proactives afin de protéger vos données. Comme nous l’avons fait par le passé, nous activerons la sécurité post-quantique par défaut, sans qu’il soit nécessaire pour vous de modifier un paramètre. Ce qui échappe à notre contrôle, c’est l’autre partie : les navigateurs, les applications et les serveurs d’origine doivent être mis à jour. Les entreprises qui acheminent leur trafic réseau via Cloudflare n’ont guère de souci à se faire : Cloudflare One offre une protection de bout en bout lors de l’acheminement du trafic sur notre infrastructure protégée par le chiffrement post-quantique.
La confidentialité et la sécurité sont des enjeux majeurs pour Internet. C’est pourquoi chaque mise à niveau post-quantique que nous développons restera disponible pour tous nos clients, dans toutes les offres – et ce, sans frais supplémentaires. Assurer la mise en œuvre par défaut de la sécurité post-quantique est l’unique moyen de protéger l’Internet à grande échelle.
Free TLS a contribué au chiffrement du web. La cryptographie post-quantique gratuite contribuera à le sécuriser pour l’avenir.