Le « pouvoir quantique » mal compris, ne vous inquiétez pas avant 2030

Aujourd’hui, les prévisions concernant la naissance des « ordinateurs quantiques liés à la cryptographie (CRQC) » sont souvent trop optimistes et exagérées — ce qui conduit à des appels à une migration immédiate et totale vers la cryptographie post-quantique.

Mais ces appels ignorent souvent le coût et le risque d’une migration prématurée, ainsi que les propriétés de risque radicalement différentes entre les divers primitives cryptographiques :

• La cryptographie post-quantique (Post-quantum encryption) doit effectivement être déployée immédiatement, malgré son coût élevé : les attaques « Interception, puis déchiffrement » (HNDL) sont déjà en cours. Les données sensibles chiffrées aujourd’hui, même dans plusieurs décennies lorsque des ordinateurs quantiques apparaîtront, pourraient encore avoir de la valeur. Bien que la mise en œuvre de la cryptographie post-quantique entraîne des frais de performance et des risques d’exécution, face aux attaques HNDL, ces données nécessitant une confidentialité à long terme n’ont pas d’autre choix.
• Les signatures post-quantum (Post-quantum signatures) rencontrent une logique de calcul complètement différente : elles ne sont pas affectées par les attaques HNDL. De plus, le coût et le risque (taille plus grande, performance inférieure, technologie immature, bugs potentiels) des signatures post-quantum déterminent la nécessité d’une stratégie de migration réfléchie, plutôt qu’urgence.

Clarifier ces différences est essentiel. Une mauvaise compréhension déformerait l’analyse coûts-bénéfices, menant les équipes à sous-estimer les risques de sécurité immédiats — comme les bugs dans le code.

Dans la migration vers la cryptographie post-quantique, le vrai défi consiste à faire correspondre le sentiment d’urgence aux menaces réelles. L’article ci-dessous clarifiera les idées reçues concernant la menace quantique, en abordant la cryptographie, les signatures et la preuve à divulgation zero (notamment leur impact sur la blockchain).

À quelle distance sommes-nous des menaces quantiques ?

Malgré la hype ambiante, la probabilité qu’un « ordinateur quantique lié à la cryptographie (CRQC) » apparaisse dans la décennie 2020 est extrêmement faible.

Par « CRQC », j’entends un ordinateur quantique tolérant aux erreurs, doté de correction d’erreurs, dont la taille permettrait en un temps raisonnable d’exécuter l’algorithme de Shor pour attaquer la cryptographie à courbe elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois).

Une lecture raisonnable des jalons publics et des ressources estimées montre que nous sommes encore très loin de réaliser une telle machine. Bien que certaines entreprises prétendent que la CRQC pourrait apparaître avant 2030 ou 2035, les avancées publiques actuelles ne corroborent pas ces affirmations.

Objectivement, aucune des architectures techniques actuelles — ions piégés, qubits supraconducteurs, systèmes d’atomes neutres — ne permet aujourd’hui d’approcher le nombre de dizaines de milliers à millions de qubits physiques nécessaires pour exécuter Shor (selon le taux d’erreur et la correction d’erreurs).

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes (Gate Fidelities), la connectivité des qubits, ainsi que la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes disposent aujourd’hui de plus de 1 000 qubits physiques, se concentrer uniquement sur le nombre est trompeur : ces systèmes manquent encore de la connectivité et de la fidélité indispensables pour effectuer des calculs cryptographiques.

Les systèmes récents approchent du seuil de correction d’erreurs en termes de taux d’erreur physique, mais personne n’a encore démontré plus de quelques qubits logiques avec correction d’erreurs et profondeur de circuit continues… sans parler d’exécuter le nombre de quelques milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour faire fonctionner Shor. La différence entre « prouver la faisabilité de la correction d’erreurs quantiques » et « atteindre l’échelle nécessaire à l’analyse cryptographique » reste immense.

En résumé : sauf si le nombre de qubits et leur fidélité augmentent de plusieurs ordres de grandeur, la CRQC reste hors de portée.

Cependant, il est facile de se laisser embrouiller par la communication des entreprises et les médias. Voici quelques sources courantes de malentendus :

• La prétendue « démonstration de l’avantage quantique » : ces démonstrations concernent actuellement des tâches artificiellement conçues. Ce choix n’est pas dû à leur utilité réelle, mais parce qu’elles peuvent être réalisées sur du matériel existant et montrer une accélération quantique spectaculaire — ce qui est souvent occulté dans les annonces.
• Les entreprises revendiquant des milliers de qubits physiques : cela concerne généralement des ordinateurs quantiques à recuit (Quantum Annealers), et non des machines capables d’exécuter Shor pour attaquer des clés publiques.
• L’usage abusif du terme « qubits logiques » : les algorithmes quantiques (comme Shor) nécessitent des milliers de qubits logiques stables. La correction d’erreurs quantiques permet d’utiliser de nombreux qubits physiques pour réaliser un seul qubit logique — souvent entre quelques centaines et quelques milliers. Mais certaines sociétés ont poussé cette terminologie à l’extrême. Par exemple, une annonce récente prétendait réaliser 48 qubits logiques en utilisant seulement deux qubits physiques par qubit logique. Ces codes à faible redondance ne font que détecter les erreurs, non les corriger. Les vrais qubits logiques tolérants aux erreurs, utilisés pour l’analyse cryptographique, nécessitent chaque fois des centaines à des milliers de qubits physiques.
• La manipulation des définitions : beaucoup de feuilles de route utilisent « qubits logiques » pour désigner des qubits ne supportant que les opérations Clifford. Ces opérations peuvent être simulées efficacement par ordinateur classique, et ne suffisent donc pas pour exécuter Shor.

Même si une feuille de route vise à « atteindre X milliers de qubits logiques dans un délai Y », cela ne signifie pas que cette société prévoit de faire fonctionner Shor pour casser la cryptographie classique à cette échéance.

Ces stratégies marketing déforment gravement la perception du public (et même de certains observateurs expérimentés) du degré de menace quantique.

Cependant, certains experts restent optimistes. Scott Aaronson a récemment déclaré, étant donné la vitesse des avancées matérielles, qu’« il est possible d’avoir un ordinateur quantique tolérant capable d’exécuter Shor avant la prochaine élection présidentielle américaine ». Mais il précisait que cela ne signifiait pas une menace immédiate pour la cryptographie : même pour décomposer 15 = 3 × 5 dans un système tolérant, c’est une « prédiction réussie ». Ce n’est pas du tout la même échelle que casser RSA-2048.

En réalité, toutes les expériences de décomposition de 15 en utilisant des ordinateurs quantiques ont utilisé des circuits simplifiés, et non une version complète de Shor tolérant aux erreurs ; décomposer 21 nécessite en outre des astuces et des raccourcis.

En résumé : aucun progrès public ne permet d’affirmer que nous pourrons dans 5 ans construire une machine capable de casser RSA-2048 ou secp256k1.

Même dans dix ans, cela reste une prédiction très optimiste.

Le gouvernement américain prévoit de réaliser la migration post-quantique de ses systèmes d’ici 2035, mais cela correspond au calendrier de la migration, et non à une prévision de l’apparition de la CRQC.

La menace HNDL concerne-t-elle certains types de systèmes cryptographiques ?

« HNDL (Harvest Now, Decrypt Later) » désigne une attaque où l’attaquant stocke dès maintenant des communications chiffrées, pour les déchiffrer ultérieurement lorsque des ordinateurs quantiques seront disponibles.

Les adversaires nationaux ont probablement déjà archivé à grande échelle les communications cryptées du gouvernement américain, pour pouvoir les déchiffrer à l’avenir. Ainsi, les systèmes cryptographiques doivent migrer immédiatement, en particulier pour des scénarios où la confidentialité doit être maintenue au-delà de 10–50 ans.

Mais toutes les signatures numériques (Digital Signatures) sur la blockchain diffèrent du chiffrement : il n’y a pas d’informations confidentielles à exploiter dans une attaque de traçabilité.

En d’autres termes, lorsque des ordinateurs quantiques apparaîtront, il sera possible de falsifier des signatures à partir de ce moment-là, mais les signatures passées ne seront pas affectées — car elles ne contiennent pas de secrets à divulguer. À condition de prouver que la signature a été émise avant l’arrivée de la CRQC, elle ne pourra pas être falsifiée.

Par conséquent, la nécessité de migrer vers des signatures post-quantum est bien moindre que pour le chiffrement.

Les plateformes principales ont également adopté des stratégies en conséquence :

• Chrome et Cloudflare ont déployé un mode hybride X25519 + ML-KEM pour TLS.
• Apple iMessage (PQ3) et Signal (PQXDH, SPQR) ont aussi déployé un chiffrement hybride post-quantum.

Mais le déploiement des signatures post-quantum sur l’infrastructure Web critique a été délibérément repoussé — ce ne sera effectué que lorsque la menace CRQC sera réellement imminente, car la performance des signatures post-quantum reste significativement inférieure à l’heure actuelle.

La situation des zkSNARKs (technique de preuve à divulgation zero compacte et non interactive) est similaire à celle des signatures. Même en utilisant la courbe elliptique (non PQ sécurisée), leur propriété de zéro connaissance reste valable en environnement quantique.

Les preuves à divulgation zero garantissent qu’aucun secret n’est révélé, donc un attaquant ne peut pas « collecter des preuves maintenant pour les déchiffrer plus tard ». Par conséquent, les zkSNARKs sont peu vulnérables aux attaques HNDL. Tout comme une signature aujourd’hui sûre, toute preuve zkSNARK générée avant l’arrivée de la machine quantique reste crédible — même si elle utilise la cryptographie à base de courbes elliptiques. Ce n’est qu’après l’apparition de la CRQC que l’attaquant pourra falsifier de fausses déclarations. La construction d’un nouveau monde numérique, échangeant sans cesse de la valeur, en construisant une économie numérique bien plus grande que la société humaine, est en marche.