Expert : au-delà de la cryptographie quantique, par Michael Xie
La cryptographie quantique est-elle le Saint Graal de la sécurité informatique ? Fondateur, président et CTO de Fortinet, leader mondial sécurité réseaux (Sophia), Michael Xie s'interroge. Si cette technologie est réputée inviolable, en revanche elle reste d'un coût élevé et ne sécurise que les données en transit. D'où la nécessité, dans un environnement interconnecté, de travailler sur les maillons faibles de la chaîne de sécurité. Voici son avis d'expert intitulé "Aller au-delà de la cryptographie quantique"
La sécurité informatique est un univers passionnant et en pleine évolution, comme le souligne l’actualité de ce secteur qui m’apporte des nouvelles fascinantes quasi quotidiennement. Récemment, j’ai pu lire que l’Université des sciences et technologies de Hefei en Chine mène un projet visant à concevoir le plus long réseau de communication quantique au monde, couvrant les quelque 2 000 km séparant Pékin de Shanghai d’ici 2016. Les instigateurs du projet espèrent ainsi offrir des communications totalement sécurisées aux utilisateurs, en misant sur la cryptographie quantique.
Voilà un projet, à l’évidence, particulièrement ambitieux. Un réseau de communication quantique est théoriquement inviolable. Toute tentative visant à intercepter la clé de chiffrement modifierait l’intégrité physique des données quantiques, les qubits, et déclencherait une alerte qui avertirait les personnes concernées. Actuellement, plusieurs laboratoires dans différents pays tentent de tirer le meilleur parti de cette technologie. La cryptographie quantique est-elle le Saint Graal de la sécurité informatique ?
C’est la quête d’une technologie inattaquable qui anime les spécialistes de la cryptographie quantique. Mais je m’interroge : une seule technologie, aussi parfaite soit-elle, peut-elle être la solution universelle à l’une des problématiques les plus complexes qui pèse sur l’humanité ? J’identifie deux obstacles qui se dressent entre la cryptographie quantique et son utilisation à grande échelle : le rapport entre coûts et avantages, d’une part, mais aussi et surtout la présence de maillons faibles à d’autres niveaux de la sécurité informatique, et ce, même si la cryptographie quantique est parfaitement sécurisé.
Quel est le prix à payer ? Aucun élément ne permet d’établir avec certitude quel sera le prix de la cryptographie quantique, mais l’on s’attend à ce qu’il soit élevé, surtout lors des étapes initiales, quand la technologie manque de maturité et que les utilisateurs sont peu nombreux. Les entreprises veulent avant tout s’octroyer des bénéfices tout en réduisant les dépenses. Elles cherchent dès lors des technologies de chiffrement abordables et suffisamment sûres pour leurs applications professionnelles.
Comment pourront-elles justifier cette inflation des coûts qui sera liée à l’adoption de la cryptographie quantique ? Le niveau de sécurité d’une organisation est celui de son maillon le plus faible La sécurité est un environnement interconnecté et non un élément isolé. Voilà toute la difficulté. Si la cryptographie quantique est si difficile à pirater, les criminels tenteront d’identifier l’élément le moins sécurisé du système ou de l’environnement ciblé. Ils pourront notamment recourir à l’ingénierie sociale pour accéder aux données confidentielles ou installer des logiciels malveillants, comme le font la plupart des hackers actuels, et ainsi détourner des données à l’insu des utilisateurs.
La cryptographie quantique vise à protéger les données en transit et cette solution n’est donc qu’un maillon de la chaîne de sécurité globale : que la sécurité soit alors qualifiée d’inviolable est quelque peu prématuré. La cryptographie quantique n’est qu’une technologie parmi d’autres. Pour renforcer la sécurité globale, nous devons en permanence travailler sur le maillon faible de la chaîne. D’où l’importance d’une action concertée à l’échelle du secteur d’activité afin de mettre à niveau de manière simultanée chaque composant de la chaîne de sécurité.
En d’autres termes, pendant que les fournisseurs de systèmes de sécurité tentent de développer leurs technologies, les entreprises et les consommateurs doivent se documenter sur la sécurité informatique et apprendre à se protéger contre les attaques. Les équipes des CERT, quant à elles, doivent améliorer leur réactivité face aux menaces alors que les institutions du monde entier sont invitées à redoubler d’efforts pour mieux former les experts en sécurité informatique.
La liste des actions à mener est longue et les parties prenantes sont nombreuses. Elles doivent exceller dans leur spécialité, mais aussi mieux collaborer entre elles. C’est cette approche coordonnée et multi-technologies qui permettra de rendre le monde plus sûr et sain : en effet, la cryptographie quantique, à elle seule, n’est pas la panacée.
Michael Xie