Cloudflare vise 2029 pour un Internet à l’épreuve du quantique alors que la menace pour le Bitcoin se profile

En bref

• Cloudflare vise à rendre sa plateforme entièrement sécurisée contre les attaques post-quantiques d’ici 2029.
• De nouvelles recherches quantiques compriment les délais de sécurité dans l’ensemble de l’industrie technologique.
• Les mêmes mathématiques cryptographiques protègent l’authentification sur Internet et les signatures Bitcoin.

Cloudflare indique qu’il prévoit de rendre l’ensemble de sa plateforme résistant aux attaques liées à l’informatique quantique d’ici 2029, accélérant ainsi ses efforts pour remplacer la cryptographie d’Internet que des machines quantiques puissantes pourraient éventuellement parvenir à briser. Dans un billet de blog publié mardi, la société d’infrastructure web a déclaré qu’elle donnait la priorité à l’authentification post-quantique, en avertissant que des clés d’authentification compromises pourraient permettre aux attaquants d’usurper l’identité de serveurs, d’accéder à des systèmes ou de distribuer des mises à jour logicielles malveillantes. « La migration vers l’authentification post-quantique est plus complexe que la transition pour le chiffrement, car elle implique davantage d’étapes », a déclaré Sharon Goldberg, directrice générale de la gestion de produit chez Cloudflare, à Decrypt. « Avec les mises à niveau de chiffrement post-quantique pour TLS, nous n’avons qu’à mettre à niveau le client TLS et le serveur TLS. »

La sécurité de la couche de transport, ou TLS, est le protocole cryptographique qui sécurise les connexions Internet entre les clients et les serveurs, protégeant les données échangées par les sites web, les applications et les services en ligne. Le calendrier de Cloudflare reflète une inquiétude croissante autour du « Q-Day », le jour théorique mais de plus en plus plausible où un ordinateur quantique pratique passerait en ligne. Alors que des experts plaçaient autrefois le Q-Day à des décennies de distance, de nouvelles recherches, notamment menées par IBM et Google, rapprochent la date de 2032. « Notre décision d’accélérer notre feuille de route post-quantique — en particulier l’authentification — a été déclenchée par des percées récentes en informatique quantique, ainsi que par le fait que Google vise également 2029 pour un déploiement complet de l’authentification post-quantique », a déclaré Goldberg.

Le billet de Cloudflare faisait écho à une annonce du mois dernier de Google, selon laquelle l’entreprise prévoit d’être résistante au quantique d’ici 2029, ce qu’elle a dit avoir contribué à déclencher l’accélération du calendrier. « Tout cela suggère que le Q-Day pourrait arriver plus tôt que prévu », a ajouté Goldberg, en avertissant que « après le Q-Day, un adversaire muni d’un ordinateur quantique pourrait s’introduire dans n’importe quel système qui n’est pas protégé par l’authentification post-quantique ».

Cloudflare rejoint une liste grandissante d’entreprises et de développeurs qui lancent l’alerte : l’informatique quantique progresse à un rythme tel qu’elle pourrait devenir un risque pour la cybersécurité, et le problème dépasse les sites web. Bitcoin repose sur des signatures numériques à courbes elliptiques pour prouver la propriété des pièces et autoriser les transactions. Des experts, dont le cofondateur d’Ethereum Vitalik Buterin, le cofondateur de Solana Anatoly Yakovenko et le fondateur de Cardano Charles Hoskinson, ont averti qu’un ordinateur quantique suffisamment puissant exécutant l’algorithme de Shor pourrait théoriquement déduire une clé privée à partir d’une clé publique, et que le passage à des algorithmes post-quantiques est nécessaire avant que le Q-Day n’arrive. En mars, des chercheurs de Caltech et d’Oratomic ont publié une étude suggérant que briser la cryptographie utilisée par Bitcoin pourrait être fait avec aussi peu que 10,000 qubits en utilisant un ordinateur quantique à atomes neutres. Les experts disent toutefois que parvenir à ce seuil de 10,000 est plus facile à dire qu’à faire. « Avoir simplement 10,000 qubits physiques, c’est quelque chose qui pourrait se produire dans l’année qui vient », avait déclaré précédemment Dolev Bluvstein, cofondateur et PDG d’Oratomic, à Decrypt. « Mais ce n’est vraiment pas le point de référence que les gens pensent que c’est. Ce n’est pas comme quand on conçoit un ordinateur : vous mettez les transistors sur la puce, vous vous lavez les mains, et vous dites que c’est bon. C’est une tâche extrêmement non triviale, extrêmement compliquée, que d’aller effectivement en construire un. »

Ces évolutions ont poussé les entreprises à accélérer leurs calendriers de migration. Cloudflare a déclaré avoir atténué une grande partie de ce risque en activant le chiffrement post-quantique sur la plupart de ses produits à partir de 2022.

« Même si nous sommes fiers du fait que plus de 65% du trafic humain vers Cloudflare est chiffré avec du post-quantique et que la majorité de nos produits prennent aussi en charge le chiffrement post-quantique », a déclaré Goldberg, « notre travail n’est pas terminé tant que nous n’avons pas aussi déployé l’authentification post-quantique. » Cloudflare indique que ses plans incluent le déploiement de l’authentification post-quantique pour les connexions aux origines au milieu de 2026, l’extension à l’authentification pour les connexions des visiteurs au milieu de 2027, l’extension de la prise en charge sur sa plateforme de réseau d’entreprise d’ici le début de 2028, puis, finalement, l’achèvement du déploiement sur l’ensemble de ses services d’ici 2029. « La complexité de la mise à niveau signifie que nous devons commencer maintenant », a déclaré Goldberg. « D’autres organisations devraient aussi commencer à agir avec un sens de l’urgence, afin de ne pas manquer de temps pour mettre en œuvre une mise à niveau sûre et fluide à mesure que le Q-Day approche. »