Le centre Eurosystème du Hub d’innovation de la Banque des règlements internationaux (BRI), la Banque de France et la Deutsche Bundesbank ont mis en place avec succès un canal de communication post-quantique, avec une cryptographie capable de résister à une attaque quantique. La question est cruciale pour le système financier international.
La cryptographie post-quantique est l’un des grands défis auxquels doivent répondre les gestionnaires de transmissions sécurisées. L’informatique quantique devrait en effet générer des machines capables de casser la quasi-totalité des systèmes de chiffrement actuels.
Développer la cryptographie post-quantique : une nécessité stratégique mondiale
Si, pour certaines applications, des attaques quantiques ont peu de chances d’être mises en œuvre, compte tenu de leur coût et de leur complexité, tous les systèmes critiques, gérant des informations sensibles, liées à la sécurité nationale ou faisant transiter des flux financiers, risquent des attaques dévastatrices.
La cryptographie post-quantique est une course contre la montre : il faut développer des systèmes résistants avant que des ordinateurs quantiques d’une puissance suffisante n’entrent en scène. En août 2022, le NSIT a ainsi labellisé quatre premiers algorithmes post-quantiques de référence. Leur implémentation dans des applications critiques est déjà en cours.
La BRI, la Banque de France et la banque centrale allemande travaillent sur un canal de communication post-quantique
Le 5 juin 2023, le centre Eurosystème du Hub d’innovation de la Banque des règlements internationaux (BRI) a ainsi publié un rapport sur un projet pilote, menée avec la Banque de France et la Deutsche Bundesbank (la banque centrale allemande), baptisé « Leap » et portant sur la création d’un canal de communication post-quantique entre deux banques centrales.
« Même si nous ne savons pas exactement quand les ordinateurs quantiques seront suffisamment puissants pour craquer les chiffrements actuels, les banques centrales doivent se préparer », indique Raphael Auer, responsable du centre Eurosystème du Hub d’innovation de la BRI.
Les trois partenaires ont ainsi mis en place un VPN résistant aux attaques quantiques entre des serveurs situés à Paris et à Francfort. Ils ont pu réaliser plusieurs échanges de données sécurisées, capables, en théorie, de résister à une attaque quantique.
Une stratégie de chiffrement hybride
Pour ce faire, ils ont déployé une stratégie de chiffrement hybride, combinant un algorithme de clé publique traditionnel et un algorithme résistant au quantique. Ils ont modifié pour cela un VPN cryptographique déjà utilisé, strongSwan, afin de maximiser sa compatibilité avec les applications existantes.
L’une des principales problématiques de la cryptographie post-quantique est en effet qu’elle impose de profonds changements de protocoles dans des applications à la robustesse éprouvée, et qui n’ont pas été conçues pour être flexibles ou simplement modifiables.
Manque d’agilité cryptographie des systèmes actuels
« Aujourd’hui, un nombre important de systèmes d’information souffrent d’un manque d’agilité cryptographique car ces systèmes ne sont pas conçus pour être facilement remplacés », synthétise le rapport. Partir d’un VPN déjà utilisé doit permettre de réduire ce défaut essentiel.
La BRI, la Banque de France et la Deutsche Bundesbank espèrent d’ailleurs faire de ce VPN la première brique d’une « chaîne de confiance complète pour les applications des banques centrales dans le monde post-quantique ».
Des compromis entre sécurité et performances
Les auteurs du rapport indique également qu’ils ont du faire des choix cruciaux de compromis entre sécurité et performance. En effet, les algorithmes de cryptographie post-quantiques disponibles sont actuellement d’une grande lourdeur, leur utilisation limite forcément la performance des échanges sécurisés.
Dans le cadre de l’expérimentation, comme l’enjeu était une simple transmission d’informations entre deux banques, ils ont pu maximiser la sécurité, au détriment de la performance.
Mais les trois partenaires sont bien conscients que d’autres applications, comme les paiements instantanés, nécessitant une réactivité en temps réel ou presque, imposeront d’autres compromis. En tout état de cause, la France, via sa banque centrale, se place à la pointe de la recherche pratique sur ces technologies cruciales pour l’avenir de la cryptographie mondiale.