L'écosystème des paiements numériques est une proie facile. Les milliards de transactions effectuées en ligne chaque jour aujourd'hui sont protégées par ce que l'on appelle des technologies de chiffrement à clé publique. Toutefois, à mesure que les systèmes quantiques deviendront plus puissants, ils seront en mesure de casser ces algorithmes cryptographiques. Un tel ordinateur quantique cryptographique (CRQC pour cryptographically relevant quantum computer) pourrait avoir un impact dévastateur sur les protocoles mondiaux de cybersécurité. Pour se préparer à ce scénario catastrophe, Mastercard a lancé son projet Quantum Security and Communications. « Nous travaillons de manière proactive pour atténuer les risques futurs liés à l'informatique quantique pouvant avoir un impact sur la sécurité des milliards de transactions numériques que nous traitons à l'échelle mondiale », explique George Maddaloni, directeur technologique des opérations chez Mastercard, pour justifier l'impulsion donnée au projet.
À l'heure actuelle, les transactions en ligne que vous et moi effectuons font donc allégeance à la cryptographie à clé publique. Dans cette technique, la personne (ou l'entité) qui envoie le message le sécurise (le verrouille) à l'aide d'une clé accessible au public et l'entité qui le reçoit le déchiffre à l'aide d'une clé privée. Le principe est que, puisque seul le destinataire possède la clé privée, la transaction est sécurisée. Les clés privées sécurisées découlent d'algorithmes mathématiques - celui de Rivest-Shamir-Adleman (RSA) est un exemple courant - qu'il est impossible d'inverser et de pirater. Du moins jusqu'à ce qu'un système quantique arrive et le fasse par la force brute. Les entités des secteurs privé et public se préparent donc en suivant l'une des deux voies suivantes : travailler sur un tout nouvel ensemble d'algorithmes résistants au quantique sur lesquels baser les clés privées (cryptographie post-quantique, PQC) ou utiliser la physique quantique pour faire la même chose (distribution quantique des clés, QKD). Le projet de Mastercard se concentre sur cette dernière méthode. D'autres entreprises du secteur financier explorent également la QKD. Parallèlement, des institutions publiques telles que le National Institute of Standards and Technology (NIST) suivent l'approche PQC « harden-the algorithms » (renforcer les algorithmes) sur lequel repose notamment le protocole Post-Quantum Extended Diffie-Hellman choisi dernièrement par Signal. Le NIST a sélectionné quatre algorithmes résistants au quantique et est en train de les normaliser. Les algorithmes définitifs devraient être disponibles au cours du premier semestre 2024 et le NIST a établi une feuille de route pour la préparation aux technologies quantiques à l'intention des entreprises.
La carte maîtresse de Mastercard
Mastercard ayant adopté la méthode de distribution des clés quantiques, son projet pilote a permis de déterminer les exigences architecturales et les limites de la QKD, ainsi que l'état de préparation opérationnelle des systèmes QKD. George Maddaloni indique que l'équipe a testé la solution de distribution de clés quantiques sur un réseau de fibres noires. Toshiba et ID Quantique ont été utilisés pour produire les clés. Deux fournisseurs de réseaux avec lesquels Mastercard a travaillé par le passé ont également été sollicités. Selon George Maddaloni, leur contribution du point de vue du réseau Ethernet IP a été utile. L'objectif était de dresser un inventaire des capacités de mise en réseau au sein du réseau de Mastercard, qui compte des milliers de points d'extrémité connectés avec quelques capacités de télécommunication différentes. « Nous voulions vérifier si les capacités de distribution de clés quantiques fonctionnaient dans cet environnement », pointe le directeur technique.
« La disponibilité de services et d'équipements compatibles avec la technologie QKD est très spécialisée et actuellement assez limitée », poursuit George Maddaloni. Peu de fournisseurs de matériel proposent des fonctions pouvant s'intégrer aux systèmes QKD. La conception du test a également constitué un défi. La QKD exige que les photons individuels arrivent à des moments précis, et les états quantiques utilisés pour le chiffrement peuvent être facilement perturbés par des facteurs externes tels que le bruit, les changements de température et les vibrations, entre autres. « Le projet a été conçu pour relever ces défis et fournir des résultats prouvables ainsi qu'une validation du potentiel de la technologie », ajoute le CTO de Mastercard. Et il a été couronné de succès.
La grande migration à portée de qubits
Les questions de cybersécurité telles que celles abordées par Mastercard sont essentielles, car elles touchent aux fondements mêmes du système que les institutions financières ont construit. « La sécurité des transactions et la confiance de nos clients sont l'épine dorsale de notre activité », souligne par ailleurs George Maddaloni. « L'impact de la compromission des méthodes actuelles de chiffrement PKI pourrait littéralement menacer notre capacité à opérer en toute sécurité [...]. Nous pensons qu'être prêts pour un paysage post-quantique fait partie de notre travail et envoie le bon message à nos partenaires, à nos clients et aux régulateurs ». De son côté Jeff Miller, DSI et premier vice-président des technologies de l'information et de la sécurité chez Quantinuum, une société de services orientés quantiques, reconnaît que la protection des données est vitale, car « il s'agit d'un contrat de confiance avec le consommateur ». Pour devenir « crypto-agile», il faut se rendre compte que les acteurs malveillants sont de plus en plus créatifs dans la manière dont ils s'introduisent dans les environnements. Les entreprises doivent donc continuer à mettre en place un processus itératif et à développer des protocoles pour remédier à ces vulnérabilités. Alors que des établissements financiers tels que Mastercard se préparent en utilisant leurs propres projets pilotes, le comité de normalisation de l'industrie X9 travaille également sur des orientations pour les entreprises du secteur financier, souligne Dustin Moody, un mathématicien qui dirige le projet de cryptographie post-quantique à l'Institut national des normes et de la technologie (NIST).
Les experts admettent que le chemin à parcourir n'est pas facile. « La disponibilité des services et des équipements de distribution de clés quantiques est encore très limitée. Certains des fournisseurs de matériel avec lesquels nous avons travaillé proposent des fonctions qui viennent d'être annoncées et sont très récentes sur le marché, et certaines n'ont même pas encore été mises à disposition », explique par ailleurs George Maddaloni. « Je pense que le secteur comprend que les services financiers auront besoin de cette capacité à l'avenir ». Dustin Moody conseille de son côté aux entreprises d'affiner leur préparation post-quantique en dépit d'un paysage qui peut sembler décourageant. La première chose à faire ? « Vous devez trouver toutes les instances de cryptographie à clé publique, ce qui est délicat et prendra du temps pour faire cet inventaire », prévient Dustin Moody. « Il s'agira d'une migration complexe qui prendra du temps [...] c'est pourquoi nous encourageons les organisations à prendre de l'avance dès qu'elles le peuvent ». Un avis partagé par Jeff Miller qui compare le processus à la préparation du passage à l'an 2000, lorsque les entreprises s'inquiétaient du formatage et du stockage des informations au-delà de l'an 2000. La migration vers la préparation post-quantique a même un acronyme accrocheur similaire : Y2Q. Selon ce dernier, la différence essentielle réside dans le fait qu'il existait un compte à rebours fixe pour le passage à l'an 2000. L'ordinateur quantique pertinent sur le plan cryptographique n'est pas là aujourd'hui, mais il pourrait l'être dans cinq ans. Ou dans dix ans. « Le fait de savoir que nous n'avons pas de date précise pour le moment où nos méthodes de chiffrement actuelles ne seront plus utiles », avance Jeff Miller. « C'est ce qui m'empêche de dormir la nuit ».
Commentaire