Après bien des critiques sur ses pratiques en sécurité, Zoom a annoncé avoir doté son logiciel de réunion vidéo et vocale d’un cryptage « post-quantique » de bout en bout. L'objectif est de protéger les données de communication envoyées entre ses applications lorsque les ordinateurs quantiques seront suffisamment puissants pour compromettre les méthodes de chiffrements existants. Pour l’instant, les ordinateurs actuels ou « classiques » n’ont pas les capacités suffisantes pour casser les algorithmes de cryptage modernes qui protègent les communications transitant par Internet, que ce soit des messages textuels, des services bancaires ou d'achats en ligne. Mais les experts en sécurité craignent que les cybercriminels aient déjà commencé à collecter des données chiffrées pour les décrypter lorsque les ordinateurs quantiques seront suffisamment performants, une stratégie de décryptage rétrospectif appelée « récolter maintenant, décrypter plus tard » ou « harvest now, decrypt later ».
Pour sécuriser les communications sur ses applications de réunion à long terme, Zoom a annoncé mardi le renforcement des capacités EE2E existantes disponibles dans ses applications Workplace avec une « cryptographie post-quantique ». « Nous sommes le premier fournisseur de logiciels de communication unifiée à le faire », a affirmé Zoom dans un billet de blog. Pour cela, l’entreprise va utiliser Kyber 768, un algorithme de mécanisme d'encapsulation de clés (Key Encapsulation Mechanism, KEM) en cours de normalisation par l’Institut national des normes et de la technologie, le National Institute of Standards and Technology (NIST). Le NIST travaille à l'identification d'un ensemble d'algorithmes « post-quantiques » capables de résister aux attaques des futurs ordinateurs quantiques. « Même si les ordinateurs quantiques ne sont pas capables de résoudre des équations mathématiques complexes, ils pourraient décrypter des algorithmes classiques sur les systèmes existants, compte tenu de leur petite échelle et de leur taux d'erreur élevé », a déclaré Heather West, responsable de la recherche sur l'informatique quantique au sein du groupe Infrastructure Systems, Platforms, and Technology d'IDC.
Stocker pour déchiffrer plus tard
Par conséquent, les algorithmes classiques modernes ne sont pas encore menacés, mais cela pourrait changer avec les progrès de l'informatique quantique, qui permettent aux systèmes d'exécuter l'algorithme de Shor. Cet algorithme quantique serait capable de « factoriser efficacement de grands nombres composites » et donc de réduire le temps nécessaire pour casser le cryptage classique. « En raison de cet avantage, on craint que certaines entités, en particulier des acteurs parrainés par l'État, violent et volent des données ayant une longue durée de vie (finances, gouvernement, ministère de la Défense, etc.) dans l'intention d'utiliser les futurs systèmes quantiques pour les décrypter et les utiliser plus tard », a ajouté Mme West. Plusieurs initiatives sont en cours pour identifier et développer des algorithmes cryptographiques post-quantiques que les entreprises peuvent déployer pour résister à la puissance quantique. Par exemple, en 2016, le NIST a lancé une initiative mondiale et devrait publier ses recommandations finales dans le courant de l'année. En 2022, le président Biden a publié deux mémorandums de sécurité (NSM-8 et NSM10) afin de fournir aux agences gouvernementales des conseils et des délais pour commencer à mettre en œuvre la cryptographie post-quantique.
En ce qui concerne la fonction EE2E post-quantique de Zoom, Mme West a déclaré que la quantité d'informations transférées par le biais de messages textuels et de réunions virtuelles « reste un territoire encore peu exploré de la cryptographie post-quantique (Post-Quantum Cryptography, PQC) », mais qu'il s'agit d'un domaine important sur lequel il faut se concentrer. « Des informations compromises à l'aide de ces technologies pourraient conduire à des atteintes à la sécurité nationale, à l'exposition accidentelle de secrets commerciaux d'une entreprise, et bien d'autres choses encore », a-t-elle déclaré. « Zoom a saisi cette opportunité pour identifier un domaine actuellement fragile en matière de sécurité des données et pour développer une solution de cryptographie post-quantique disruptive pour l'industrie ».
Des contraintes à l'usage
Néanmoins, Mme West souligne les « sérieuses limites » de l'approche de Zoom. Par exemple, pour que la sécurité soit assurée, tous les participants à la réunion doivent utiliser la version 6.0.10 ou supérieure de l'application Zoom pour ordinateur de bureau ou mobile. « Or, rien ne garantit que tout le monde utilise la version la plus récente… », a-t-elle mis en garde. En outre, l'utilisation du cryptage post-quantique de Zoom signifie que les participants perdent l'accès à certaines fonctions clés, telles que l'enregistrement dans le cloud. « Pour que la PQC soit efficace, elle doit non seulement être protégée contre les atteintes potentielles à la cybersécurité quantique, mais elle doit aussi permettre les mêmes performances et la même utilité des applications et de l'infrastructure que si elle n'était pas utilisée. Cela ne semble pas être le cas avec la mise en œuvre de Zoom », a déclaré Mme West.
D'une manière générale, la responsable de la recherche sur l'informatique quantique d’IDC estime que toutes les entreprises devraient réfléchir à la manière d'assurer demain la sécurité des données cryptées. « Elles devraient prendre ce risque au sérieux », a-t-elle insisté. « Beaucoup semblent penser à tort que si une entreprise n'investit pas dans l'informatique quantique, il n'est pas nécessaire d'investir dans la cryptographie post-quantique. Les cyberattaques utilisant des algorithmes quantiques sont susceptibles d'affecter toutes les entreprises et organisations. Certaines comprennent l'importance de la cryptographie post-quantique et attendent la publication des normes finales du NIST, mais la mise à jour vers la cryptographie post-quantique sera sans doute un « processus laborieux ». C’est la raison pour laquelle elle recommande aux entreprises de commencer dès maintenant à inventorier et à identifier les données et l'infrastructure à risque. « Un partenariat avec un fournisseur de PQC ou un consultant peut les accompagner dans la transition. Les fournisseurs et les consultants en cryptographie post-quantique peuvent aussi apporter leur aide pour déterminer la solution la plus adaptée à l’entreprise ».