Cryptographie post-quantique: ce qu’il faut déployer sans tarder

Depuis que Google a avancé son estimation du Q-Day de 2035 à 2029, la cryptographie post-quantique ne relève plus d’une spéculation confortable. D’après le compte rendu de CyberScoop sur le nouveau calendrier retenu par Google, l’enjeu ressemble désormais à une échéance industrielle. Si vos identifiants bancaires, vos dossiers médicaux ou vos messages confidentiels reposent encore sur RSA ou ECC, le temps disponible pour migrer se réduit plus vite que beaucoup d’équipes sécurité ne l’avaient anticipé.

Le risque, au demeurant, ne commence pas le jour où apparaîtra une machine quantique pleinement opérationnelle. La logique du « collecter maintenant, déchiffrer plus tard » suffit déjà à justifier l’urgence. Des données chiffrées interceptées aujourd’hui peuvent conserver une valeur stratégique demain. Dans un contexte où 67 % des violations commencent par un identifiant volé, la durée de vie du secret devient une question de gouvernance autant que de technique.

Tous les standards n’avancent pas au même rythme

En août 2024, le NIST a finalisé trois standards majeurs de cryptographie post-quantique et en a maintenu d’autres sur sa feuille de route, comme l’indique son programme officiel consacré à la cryptographie post-quantique. À première vue, on pourrait croire que ces six algorithmes constituent un ensemble homogène. En réalité, ils n’occupent pas la même place dans la hiérarchie du déploiement.

Cette distinction est essentielle. En matière cryptographique, la qualité d’un algorithme ne se mesure pas seulement à sa robustesse théorique. Elle dépend aussi de son coût mémoire, de sa latence, de sa consommation énergétique, de la taille de ses clés et, surtout, de la facilité avec laquelle il peut être implémenté sans introduire de nouvelles vulnérabilités. Le meilleur standard n’est donc pas nécessairement le plus séduisant sur le plan académique, mais celui qui supporte le passage au réel.

Un candidat n’a, en pratique, plus d’avenir

BIKE occupe clairement la dernière place. L’algorithme n’a pas remporté la compétition du NIST et a été devancé par HQC pour le rôle de solution de secours lors du quatrième tour. Son profil pouvait sembler intéressant sur le plan de la mémoire dans certains cas, mais les coûts de latence et d’énergie se sont révélés trop pénalisants lorsque le niveau de sécurité augmentait.

La conclusion pratique est sans ambiguïté. Aucun standard FIPS ne se profile pour BIKE. Dès lors, lorsqu’un fournisseur présente encore cette prise en charge comme un argument, cela doit plutôt éveiller la méfiance. Dans un domaine aussi structurant que la cryptographie, s’accrocher à un candidat écarté relève moins de la vision que d’un retard stratégique.

HQC rassure sur le papier, moins dans les usages quotidiens

HQC conserve, pour sa part, une utilité bien précise. Il a été retenu comme alternative fondée sur les codes, afin de ne pas dépendre exclusivement des schémas reposant sur les réseaux euclidiens. L’idée est prudente: si la famille des algorithmes sur réseaux venait un jour à être fragilisée, l’écosystème disposerait d’une autre base mathématique.

Cependant, une assurance théorique n’équivaut pas à une solution de premier recours. HQC demeure coûteux en mémoire et impose une charge thermique peu élégante sur du matériel contraint. Sur des serveurs, cela peut rester acceptable. Sur des objets connectés, des terminaux mobiles ou des équipements embarqués, l’équation est plus délicate. HQC ressemble donc davantage à une police d’assurance qu’à un choix de déploiement par défaut.

Les signatures révèlent le vrai prix des compromis

Du côté des signatures numériques, SLH-DSA et FN-DSA illustrent deux logiques opposées. SLH-DSA, issu de SPHINCS+, s’appuie entièrement sur des fonctions de hachage. Si cette base reste solide, le schéma offre une garantie particulièrement rassurante pour les archives publiques, les documents juridiques ou les journaux d’événements critiques qui devront rester vérifiables pendant des décennies.

Mais cette sérénité a un coût. Les signatures dépassent 7 800 octets, contre environ 3 300 pour ML-DSA, et l’opération de signature est sensiblement plus lente. Pour des échanges TLS ou d’autres usages sensibles à la latence, l’option paraît peu réaliste.

FN-DSA, dérivé de FALCON, se distingue au contraire par la compacité de ses clés et de ses signatures. Cela peut s’avérer précieux dans des environnements contraints, des chaînes de certificats ou des réseaux IoT, et s’inscrit dans la dynamique du passage des mots de passe aux passkeys. Son point faible tient à l’implémentation: la génération de clés exige une arithmétique en virgule flottante à temps constant, exercice notoirement difficile sans exposition aux attaques par canaux auxiliaires.

Le duo le plus crédible pour un usage immédiat

Pour un déploiement concret, deux standards se détachent nettement. ML-DSA, hérité de CRYSTALS-Dilithium, s’impose comme l’outil de travail pour la signature de code, l’authentification et la vérification documentaire. L’analyse de performance de la PQC dans TLS publiée sur arXiv montre que la signature peut être bien plus rapide qu’avec RSA-2048, sans pénalité excessive dans les usages réels.

Au sommet se trouve ML-KEM, dérivé de CRYSTALS-Kyber. Ce leadership tient autant à son élan d’adoption qu’à ses qualités techniques. Google l’a activé dans Chrome, et Cloudflare affirme que 65 % du trafic humain sur son réseau utilise déjà un encapsulage de clés post-quantique. Lorsque le NIST invite l’industrie à l’intégrer « immédiatement », le message a la netteté des décisions rares.

L’attentisme devient lui-même un risque

Pour l’immense majorité des organisations, la trajectoire se précise donc assez clairement. ML-KEM pour l’échange de clés. ML-DSA pour l’essentiel des signatures. SLH-DSA comme garantie d’archivage de long terme. FN-DSA comme piste à surveiller de près, sans précipitation. BIKE, quant à lui, appartient déjà davantage à l’histoire du concours qu’à l’avenir du déploiement.

Le NIST indique aussi que les algorithmes vulnérables au quantique seront dépréciés d’ici 2035, avec une transition plus rapide pour les systèmes les plus sensibles. Si l’on ajoute l’accélération des cyberattaques alimentées par l’IA, qui réduit le délai entre vol et exploitation, la fenêtre confortable s’est déjà refermée. L’ordinateur quantique capable de briser votre chiffrement n’a pas besoin d’exister aujourd’hui. Pour votre exposition au risque, cela ne change déjà presque plus rien.