En 2024, le cabinet Gartner déclarait que les organisations devaient commencer leur transition vers l’informatique quantique car le chiffrement asymétrique ne sera plus sécurisé dès 2029 et totalement déchiffrable d’ici à 2034. C’est également dans cette optique que l’ANSSI a déclaré cette année que les solutions qui ne seraient pas résistantes face à la menace quantique ne seraient plus conformes et certifiées par l’agence.
Ces prises de position laissent entendre que l’informatique quantique sera bientôt une réalité, ouvrant d’incroyables perspectives d’innovation, de l’optimisation du trafic à l’accélération de la découverte de nouveaux médicaments. Toutefois, cette technologie ne séduit pas que des acteurs bien intentionnés. Les cybercriminels sont à l’affût, puisque les ordinateurs quantiques leur permettront de démanteler tous les systèmes de chiffrement qui protègent internet actuellement.
La majorité des chiffrements modernes dépendent d’algorithmes asymétriques pour l’échange de clés de session. Leur sécurité repose ainsi sur le fait que les ordinateurs actuels sont incapables de factoriser le produit de deux très grands nombres premiers dans un délai raisonnable.
Les plus grands ordinateurs quantiques actuels comptent 1 000 qubits et ne sont stables que pendant une à deux millisecondes. Ils ne présentent donc aucun risque contre les algorithmes les plus courants pour l’échange de clés. Cependant, un ordinateur quantique doté d’environ 20 millions de qubits physiques stables pourrait déchiffrer ces algorithmes d’échange de clés en environ huit heures, grâce aux étonnantes propriétés de la physique quantique. Et les acteurs malveillants se préparent déjà activement à profiter de ces capacités.
À l’aube de cette nouvelle menace, l’approche des cybercriminels suit une logique simple : piller un maximum de données dès aujourd’hui pour les déchiffrer demain, lorsque la technologie le leur permettra.
En effet, tout ce qui est publié sur en ligne est enregistré, et les attaquants interceptent et stockent d’ores et déjà ces informations encore impossibles à exploiter, dans l’espoir de pouvoir les déchiffrer sans effort d’ici quelques années.
Beaucoup d’experts du secteur estiment que dans six ou huit ans un ordinateur quantique suffisamment puissant et stable pour une utilisation généralisée devrait exister. Une fois que ce sera le cas, toutes les données mises de côté par les cybercriminels deviendront accessibles, ce qui pourrait avoir des conséquences dévastatrices.
La cryptographie post-quantique repose sur divers types de problèmes suffisamment complexes pour tenir tête aux capacités de ces nouvelles machines.
Une nouvelle génération d’outils de chiffrement basés sur des algorithmes quantiques sécurisés approuvés par l’Institut américain des normes et de la technologie (NIST) et par l’ANSSI et conçus pour résister aux attaques menées à l’aide d’ordinateurs quantiques se développent. Toutefois, le déploiement d’algorithmes quantiques sécurisés ne se résume pas à une simple mise à niveau des systèmes de sécurité ni à un changement réalisable en 24 h. Il est nécessaire dès aujourd’hui, pour les organisations, d’œuvrer au renforcement de la crypto-agilité.
Cette dernière désigne une capacité à changer rapidement et en toute sécurité les méthodes de chiffrement chaque fois qu’apparaissent de nouvelles menaces, et cela sans perturbation des workflows ni dépassement de budget. Fini le temps où les dirigeants se contentaient d’installer un système de protection pour ne plus y penser.
À mesure que les algorithmes de chiffrement post-quantique (PQC) existants et à venir commenceront à apparaître dans les produits, les paramètres par défaut évolueront et les menaces prendront de nouvelles formes. Si les organisations n’ont pas commencé à développer leur agilité d’ici là, la transition risque d’être rude.
Tous les directeurs techniques, DSI et autres responsables de la sécurité informatique doivent dresser au plus vite un état des lieux de leur infrastructure numérique et se poser la question : « Quels sont les systèmes chiffrés vulnérables ? » La réponse n’ira pas toujours de soi.
Il convient avant tout de se concentrer sur les données circulant hors de l’organisation. Les attaquants qui pillent des données en vue d’un déchiffrement futur ciblent en priorité les données en mouvement, circulant sur internet, entre différents services ou dans le cloud.
Les données confinées à un réseau bien défendu présentent généralement moins de risques, du moins pour l’instant. Comme les flux de données externes constituent la plus grande exposition quantique, c’est sur eux que doivent porter les efforts en priorité, que ce soit en interne ou dans les relations avec les prestataires et fournisseurs.
L’amélioration de la crypto-agilité ne doit pas se cantonner aux fichiers et dossiers. L’objectif est de préserver l’intégrité de chaque handshake de connexion, de chaque en-tête et de chaque dépendance cachée dans la pile. Tout élément touché, traversé ou habité par des données doit être passé au crible de l’imminence quantique.
Les entreprises qui misent tout sur l’IA et les données ne pourront pas faire l’impasse sur la résilience quantique. Les données ne pourront effectivement nourrir leur croissance que si elles restent durablement sécurisées, conformes et fiables. La PQC relève ainsi d’une logique de préparation au futur plutôt que d’une simple posture de défense. Son adoption montre la capacité à projeter l’activité dans un avenir reconfiguré, où il serait catastrophique de ne pas pouvoir garantir l’intégrité des données.
Heureusement, des pistes d’action sont déjà disponibles. Il y a un an, le NIST publiait sa première série de normes PQC. Le mécanisme d’encapsulation de clés basé sur un réseau de modules (ML-KEM, anciennement CRYSTALS-Kyber), norme par défaut pour l’échange de clés, remplacera les algorithmes RSA et ECC pour sécuriser le chiffrement TLS à long terme. Toutefois, la sécurité dépend également des interactions externes. Il est essentiel de collaborer avec des fournisseurs et partenaires cloud au fait des dernières normes de sécurité quantique et utilisant des algorithmes certifiés et fiables.
Afin de se préparer au mieux face à la menace quantique, les organisations doivent commencer par passer en revue leurs systèmes en recensant précisément tous les outils où le chiffrement est utilisé, en gardant à l’esprit que les vulnérabilités se trouvent souvent dans les intervalles. C’est pourquoi il est crucial d’intégrer dès aujourd’hui le principe des algorithmes quantiques sécurisés dans toutes les initiatives de sécurité.
En externe, être intransigeant avec les prestataires et fournisseurs sera primordial, en leur ne se contentant pas de leur demander s’ils envisagent des initiatives PQC mais en exigeant de savoir comment et à quelle échéance ils comptent les mettre en œuvre. Car, une fois que l’informatique quantique aura franchi le cap du potentiel pour devenir une réalité, il sera trop tard pour protéger les données déjà exposées.
*Stanley Nabet est Country Manager France chez Netskope
The post { Tribune Expert } – La crypto-agilité, le futur à envisager dès aujourd’hui appeared first on Silicon.fr.
Après le PC sous Linux, le serveur sous OpenBSD ou le smartphone sous LineageOS, voici peut-être enfin le " Linux du quantique ".
Ahaha, et là vous vous dites, "Mais c'est quoi encore cette merde ?"
Bah non, c'est un vrai truc très sérieux ! En effet, l'Université de Waterloo vient de balancer un projet assez dingue baptisé Open Quantum Design (OQD) et pour une fois, ce n'est pas un simple simulateur qui tourne sur votre vieux PC poussiéreux, mais un vrai design complet d'ordinateur quantique full-stack... Full Stack, c'est pas un film avec JCVD, ça veut juste dire qu'ils proposent une solution de A à Z, du hardware physique jusqu'au soft qui pilote les lasers.
Car jusqu'à présent, même si des accès cloud existaient (merci IBM Q Experience), le cœur des machines restait souvent une boîte noire jalousement gardée par les géants de la tech ou d'affreuses startups aux dents longues.
Alors, pour comprendre vraiment comment ça marche "sous le capot", c'était bien coton. C'est pourquoi avec ce projet, l'idée est de péter ces barrières en proposant une architecture transparente et surtout collaborative.
Leur matos repose sur la technologie des ions piégés (ion-trapping) où en gros, on isole des ions (des atomes chargés) dans un vide poussé (ultra-high vacuum) et on les manipule avec des lasers et des champs électromagnétiques.
Ça permet de manipuler les qubits avec une précision de dingue, et d'en afficher les mesures. Ces ions servent de qubits pour traiter l'information quantique et le plus beau dans l'histoire, c'est que l'équipe partage tout : les plans du hardware, les couches électroniques de contrôle et bien sûr le logiciel !
Maintenant, pour ceux qui se demandent ce que change un ordi quantique open source, par rapport à un ordi quantique totalement fermé, c'est simple... Faut voir ça comme la fin du "croyez-nous sur parole". Ça met peu de lumière sur ce secteur et via ce hub, les chercheurs vont pouvoir contribuer et vérifier les progrès réels sans pression commerciale. OQD compte déjà plus de 30 contributeurs et des partenaires de poids comme Xanadu (côté hardware) ou la Unitary Foundation.
Maintenant, je vous vois venir les barbus du dimanche avec votre tournevis et votre sourire plein de miettes... "Est-ce qu'on peut fabriquer son ordinateur quantique DIY soi-même dans son garage ?"
Bon, calmez-vous direct les copains ! Désolé mais c'est pas encore un machin qu'on monte avec un tournevis et une pile 9V. Les lasers et le système de vide, c'est pas du matos qu'on trouve chez Casto (pour le moment) mais c'est quand même une sacrée avancée vers une science plus éthique, un peu comme quand j'écrivais sur les PCB en argile . On sort enfin du modèle propriétaire pour entrer dans l'ère de la collaboration ouverte.
D'ailleurs, ça me rappelle mes articles sur Quantum Echoes ou sur les dérives des benchmarks quantiques bidonnés . Ici, la transparence est la clé et comme le projet s'appuie sur des années de recherche au sein de l'IQC (Institute for Quantum Computing), ça permet enfin aux chercheurs de tester leurs algos sur du hardware dont ils connaissent chaque boulon !
L’éditeur français de logiciels de cybersécurité Evertrust annonce une levée de fonds de 10 millions € en Série A auprès du fonds de capital-risque américain Elephant. Cette opération doit permettre à la startup d’accélérer son développement sur les marchés européens et de consolider sa position d’acteur de référence dans la gestion des certificats numériques.
Fondée en 2017 par Kamel Ferchouche, Jean-Julien Alvado et Étienne Laviolette, Evertrust s’est transformée d’un cabinet de conseil en un éditeur de logiciels spécialisé dans deux technologies complémentaires : la PKI (Public Key Infrastructure) et le CLM (Certificate Lifecycle Management). La première permet l’émission et la gestion des certificats numériques, tandis que la seconde automatise leur cycle de vie.
Cet avantage technologique confère à Evertrust une position distinctive : l’entreprise est le seul acteur européen et l’un des quatre seuls au monde à proposer une offre intégrée couvrant ces deux segments.
Le modèle économique d’Evertrust repose sur une clientèle de grands comptes, avec plus de 25% des entreprises du CAC 40 parmi ses clients. Rentable depuis sa création, l’entreprise affirme réaliser encore plus de 80% de son chiffre d’affaires en France et emploie 40 collaborateurs.
Plusieurs facteurs structurels alimentent la demande pour ses solutions. La durée de validité des certificats publics, actuellement de 398 jours, va connaître une réduction drastique : 200 jours en 2026, 100 jours en 2027 et seulement 47 jours en 2029. Cette évolution rendra l’automatisation du renouvellement des certificats indispensable pour les organisations, qui doivent déjà gérer une multiplication exponentielle de ces artefacts cryptographiques.
Dans un contexte de tensions commerciales et réglementaires, Evertrust mise sur sa nature souveraine. Ses solutions sont conçues et hébergées en Europe et conformes aux standards internationaux comme eIDAS et NIST.
L’entreprise a récemment obtenu la certification CSPN de l’ANSSI pour sa plateforme PKI, un sésame qui renforce sa crédibilité auprès des acteurs publics et parapublics. Lauréate de la promotion 2025 du programme French Tech 2030, Evertrust bénéficie d’une reconnaissance institutionnelle qui appuie son développement.
Les 10 millions € levés serviront principalement à renforcer les équipes commerciales et techniques, qui devraient tripler d’ici cinq ans. L’entreprise prévoit également un changement de modèle de distribution : d’un modèle majoritairement direct en France, elle entend basculer vers un réseau de partenaires revendeurs et intégrateurs de solutions de sécurité sur les principaux marchés européens.
The post Evertrust lève 10 M€ pour s’imposer en leader de la PKI et du CLM appeared first on Silicon.fr.
Connexion