Interview

Nicolas Sangouard : « L’ordinateur quantique n’existe pas encore, mais il représente déjà une menace »

Posté le 9 septembre 2022
par Philippe RICHARD
dans Informatique et Numérique

L’arrivée de l’ordinateur quantique représente une réelle menace pour certains protocoles de cryptographie reposant sur des problèmes mathématiques supposés difficiles. En quelques heures, un ordinateur quantique pourrait casser des protocoles cryptographiques de type RSA et Diffie-Hellman couramment utilisés aujourd’hui. La confidentialité des données de santé ou des informations sensibles d’entreprises stockées sur des serveurs ou dans le cloud ne serait plus assurée. Des chercheurs du CEA, des Universités de Genève, d’Oxford et des écoles polytechniques fédérales de Lausanne et Zurich ont posé les premiers jalons de clés cryptographiques particulièrement résistantes aux attaques quantiques. Une première mondiale. Explications avec Nicolas Sangouard, chercheur au CEA-IphT (Institut de Physique Théorique).

Nicolas Sangouard est physicien-chercheur CEA et travaille à l’institut de physique théorique. Il est spécialiste de l’optique et de l’information quantique et participe notamment aux développements des communications quantiques et du calcul quantique.

Techniques de l’Ingénieur : Même si l’ordinateur quantique n’est pas encore une réalité, les entreprises et les états doivent anticiper ces menaces dès maintenant ?

Nicolas Sangouard : Si l’on se réfère à la technologie développée par Google ou IBM, il faudrait un ordinateur quantique avec des millions de qubits pour déchiffrer ces protocoles. Or, d’ici la fin de cette année, IBM prévoit de lancer une machine quantique avec un peu plus de 1 000 qubits. Il faudra donc encore plusieurs années avant que l’ordinateur quantique ne soit capable de réaliser une telle tâche. Mais les physiciens et les ingénieurs travaillent activement sur ce problème de montée en échelle.

En particulier, nous avons déjà démontré que si l’on disposait d’une mémoire quantique (utilisée notamment pour les communications quantiques), nous pourrions casser le système RSA avec un processeur quantique qui ne disposerait plus que de 10 000 qubits. Pour passer de 1 000 à 10 000 qubits, l’échelle de temps se réduit considérablement par rapport à la montée en échelle vers des millions de qubits.

Par ailleurs, il y a des données, en particulier celles liées à la santé, que nous souhaitons conserver sur une très longue période. Actuellement, nous ne pouvons pas garantir la sécurité de ces données contre des attaques quantiques lorsqu’elles sont transmises entre mon généraliste et un hôpital par exemple. Je ne sais pas combien de temps il faudra pour développer un ordinateur quantique de grande taille. Mais étant donné les progrès auxquels nous avons assisté ces dernières années, je peux imaginer que d’ici 5 ou 10 ans, nous pourrons disposer d’une telle machine capable de casser la sécurité des protocoles actuellement utilisés. Cela signifie que si mes données de santé sont conservées cryptées jusqu’à ce qu’un ordinateur quantique soit disponible, elles pourront être publiquement révélées dans 5 ou 10 ans. Voilà une technologie qui n’existe pas encore, mais qui représente déjà une menace aujourd’hui.

C’est la raison pour laquelle la mise en œuvre d’un nouveau concept de distribution quantique de clés a été lancée il y a 5 ans ?

L’idée même d’utiliser du quantique pour sécuriser les communications date des années 1980. Et en 1991, l’idée est apparue sous une formulation qui est très proche de l’expérience que nous avons réalisée. Pour comprendre l’idée sous-jacente à la cryptographie quantique, il faut s’appuyer sur la notion d’intrication. Quand deux particules sont intriquées, un principe quantique indique que, lorsqu’on mesure une particule, on va obtenir un résultat aléatoire. Lorsqu’on mesure la seconde particule, on obtient un résultat qui est aussi localement aléatoire, mais parfaitement corrélé au résultat de la première mesure. Ce principe permet d’obtenir une clé ; si l’on répète cette mesure, on obtient deux chaînes de résultats imprédictibles parfaitement corrélés. Cette clé quantique peut ensuite être utilisée pour crypter et décrypter des messages.

Quels sont les avantages de cette distribution des clés ?

Premièrement, la sécurité d’un chiffrage et déchiffrage de données avec cette clé ne repose pas sur la difficulté à résoudre des problèmes mathématiques comme dans le cas de RSA ou de Diffie-Hellmanle. La sécurité est basée sur un principe quantique : celui de la mesure d’états intriqués. Deuxièmement, la sécurité est garantie même lorsque la provenance et le fonctionnement des appareils utilisés pour obtenir la clé ne sont pas connus. En effet, la sécurité repose sur la capacité à démontrer que les personnes qui veulent obtenir une clé disposent d’un état intriqué. Et avec un test dit de Bell, nous pouvons certifier qu’un état est intriqué sans connaître le fonctionnement des appareils utilisés pour générer cette clé. C’est tout l’aspect novateur de nos recherches qui apporte une double sécurité. Nous pouvons non seulement avoir un protocole de cryptographie qui soit très sécurisé, y compris contre des attaques quantiques, mais nous pouvons aussi avoir une sécurité même lorsque les appareils utilisés par un banquier par exemple ne sont pas bien caractérisés et dont le niveau de confiance n’est pas précisé. Si les appareils ne fonctionnent pas correctement, notre protocole ne fonctionnera pas et il indiquera aux utilisateurs qu’ils ne doivent pas les utiliser.

La prochaine étape sera de proposer un système commercialisable, notamment en rallongeant la distance entre les deux appareils avec des systèmes photoniques ?

L’expérience que nous avons mise en place est très compliquée. C’est un prototype, réalisable dans un très petit nombre de laboratoires dans le monde. Pour la commercialisation, nous avons besoin de réaliser cette cryptographie avec des éléments plus simples. D’où l’idée d’utiliser des appareils photoniques commerciaux qui existent depuis des décennies et qui sont capables de générer et de mesurer cette intrication. L’objectif est double : avoir accès à des systèmes beaucoup plus faciles à intégrer dans des réseaux de communication, mais aussi qui permettent d’avoir accès à des taux de clés plus élevés et à des distances plus grandes. Cela va encore demander des années de développement. Les plans quantiques nationaux et européens nous aident à atteindre cet objectif ambitieux.

L’annonce du CEA intervient au moment où le NIST a dévoilé les solutions retenues pour résister au quantique. Votre solution est-elle complémentaire ?

Dans ce champ de recherche, les Européens sont à la pointe, que ce soit pour la cryptographie post-quantique (retenue par l’agence américaine NIST) ou la cryptographie dite quantique comme celle dont nous discutons dans cet entretien. Ces deux voies sont complémentaires, car le post-quantique repose sur des problèmes mathématiques, comme RSA et Diffie-Helmann. Notre solution offre davantage de sécurité et elle est particulièrement adaptée pour sécuriser des données très sensibles sur des périodes très longues. Mais elle est plus difficile à mettre en place.


Pour aller plus loin