L’Europe sur la touche dans la course à l’informatique quantique ?

Alors que les menaces de cyberattaques quantiques se concrétisent un peu plus chaque jour, les démocraties libérales et les régimes autocratiques se lancent dans une course au développement d’un cryptage post-quantique. Cependant, l’Europe risque de se retrouver sur la touche.

Alors qu’un cryptage solide constitue la pierre angulaire de la sécurisation du monde numérique dans son ensemble et du commerce mondial, l’informatique quantique peut rendre obsolète le cryptage auquel on se fie généralement pour sécuriser et protéger les données.

Pour leur part, la Chine, les Émirats arabes unis et la Russie font partie des nations désireuses de créer leur propre écosystème de normes et d’algorithmes de cryptographie post-quantique.

À l’inverse, aux États-Unis, le National Institute of Standards and Technology (NIST) a introduit des normes pour définir les algorithmes de cryptographie post-quantique et l’Agence nationale de la sécurité (NSA) a publié une suite d’algorithmes appelée « Commercial National Security Algorithm Suite 2.0 (CNSA 2.0) » afin de répondre aux exigences en matière d’algorithmes post-quantiques.

« Le processus de normalisation est en bonne voie et nous pouvons dire que la plupart des chercheurs sont satisfaits de la plupart des décisions prises par le NIST », a expliqué à EURACTIV le Dr Bart Preneel, cryptographe et cryptanalyste enseignant à la KU Leuven.

Une impression de déjà-vu

L’ampleur d’une transition vers un monde post-quantique concernera probablement tous les utilisateurs d’Internet. Les risques que représente la rupture du cryptage commun vont de la mise en danger des transactions financières à la divulgation de dossiers médicaux, en passant par la révélation de secrets de sécurité nationale.

La cryptographie est une composante de pratiquement tous les aspects de la sphère numérique.

C’est la raison pour laquelle les nations s’empressent aujourd’hui de développer des algorithmes quantiques dans le but de rompre le cryptage et de mettre au point une cryptographie post-quantique. À l’instar du projet Manhattan en 1942, les avantages d’une avance dans le domaine de l’informatique quantique sont à la fois stratégiques et économiques.

La mise au point de la bombe atomique a conduit à un résultat désastreux : le bombardement de Nagasaki et d’Hiroshima et l’immobilisation des puissances mondiales par crainte d’une destruction mutuelle.

Les cyberattaques quantiques et les algorithmes de déchiffrement ne manqueront pas de conduire à une impasse similaire, car ils pourraient entraîner des risques inacceptables pour la société de chaque adversaire, tout en alimentant une perpétuelle course à l’armement.

Il est particulièrement important de protéger les infrastructures nationales critiques, qui vont des systèmes de défense, de l’énergie nucléaire, des télécommunications, des infrastructures, de l’énergie et des transports aux soins de santé et aux transactions financières.

Avec les progrès des technologies quantiques, les données de ces types de domaines risquent d’être interceptées et, à l’avenir, décryptées.

Contexte géopolitique

Alors que la cryptographie relevait autrefois de la géopolitique et n’était disponible que pour les unités militaires, « il semble aujourd’hui qu’elle redevienne une caractéristique de la géopolitique », a déclaré Axel Y. Poschmann, expert en technologies quantiques et responsable de l’innovation et de la sécurité des produits chez PQShield.

L’importance de l’informatique quantique dans le contexte géopolitique est mise en évidence par les récentes sanctions américaines visant à paralyser l’accès de la Chine aux semi-conducteurs essentiels au développement des ordinateurs quantiques. D’autres restrictions à l’exportation pourraient également suivre.

Ces tensions internationales se répercutent sur les normes techniques, qui sont devenues de plus en plus politisées, les États-Unis et la Chine les utilisant pour faire avancer leur programme. Or, comme pour la course atomique, l’Europe risque de se retrouver sur la touche.

« Comme ce fut le cas auparavant pour d’autres élaborations de normes cryptographiques, les contributions des chercheurs de l’UE ont été les plus importantes et ont été en partie financées par la Commission européenne », a déclaré M. Preneel, précisant que les décisions étaient toutefois prises par le NIST américain.

D’après EURACTIV, la cryptographie quantique devrait figurer en bonne place sur le programme de la prochaine Commission européenne. L’UE sponsorise déjà l’entreprise commune pour le calcul à haute performance européen (entreprise commune EuroHPC).

La désunion de l’Europe

Si l’UE contribue à la recherche dans ce domaine, elle n’a pas pris l’initiative de définir les normes techniques dans ce domaine stratégique, bien que la stratégie européenne de normalisation préconise une approche plus musclée de l’établissement des normes.

Dans le dernier rapport de l’Agence de l’Union européenne pour la cybersécurité (ENISA), l’agence européenne pour la cybersécurité, le NIST s’est vu reconnaître un rôle de premier plan. En outre, il est recommandé aux « gouvernements, [à] l’industrie et [aux] responsables de la protection des données ainsi qu’[aux] autres organismes de normalisation [d’]acquérir une compréhension suffisante de la cryptographie post-quantique pour prendre des décisions en connaissance de cause ».

Selon M. Preneel, certains pays européens sont réticents à l’idée de céder du pouvoir à Bruxelles et préfèrent que la décision soit prise par Washington : l’UE a donc été largement absente de ce débat.

Dans le même temps, la France et l’Allemagne se montrent prudentes quant à l’adoption des normes du NIST ou de la suite CNSA 2.0. Les normes du NIST sont considérées comme moins robustes parce qu’elles se concentrent sur l’efficacité, tandis que la suite CNSA 2.0 a été développée par la NSA, qui a des « antécédents abusifs en matière de portes dérobées », a ajouté M. Poschmann.

L’Allemagne et la France « ont décidé d’insister également sur des algorithmes plus lents dotés de clés plus grandes », a noté M. Preenel. Des clés plus grandes permettent un cryptage plus sûr, mais sont également moins efficaces. La longueur de clé que Berlin et Paris recherchent pourrait convenir à la protection d’infrastructures stratégiques, mais il est peu probable qu’elle soit utilisée pour des applications commerciales.

Rater le coche dans le domaine de la cryptographie quantique serait synonyme de dépendance européenne à l’égard des États-Unis dans le domaine de la sécurité, malgré tous les discours de l’UE sur l’autonomie stratégique et la souveraineté technologique.

[Édité par Anne-Sophie Gayet]