Réponse rapide : beaucoup de choses sur la cryptographie. Pendant que les machines quantiques gagnent des qubits et tentent de régler leurs « soucis », la riposte se prépare avec des algorithmes capables de leur résister. Inria revient sur certains travaux en cours et les enjeux.
Dans son rapport annuel, Inria abordait de nombreux sujets dont l’intelligence artificielle, les algorithmes, la santé, les objets connectés et la cybersécurité. Un dernier point était au programme : l’informatique quantique, aussi bien côté machines qu’algorithmes.
- Inria revient sur les nombreux enjeux autour de l’intelligence artificielle, des algorithmes et la santé
- Les objets connectés et la cybersécurité : Inria oscille entre utopie et dystopie
La France compte bien ne pas rester sur le quai de cette révolution promise depuis des (dizaines d’) années. En janvier dernier, elle annonçait le Plan Quantique avec 1,8 milliard d’euros à la clé. Emmanuel Macron dressait les grandes lignes d’un calendrier serré.
Il était alors question de développer un « ordinateur hybride, notamment pour la chimie, la logistique, l'intelligence artificielle, et ce dès l’horizon 2023 ». C’est plus tard, avec la phase II, que la France devrait se doter d’un « ordinateur quantique universel ».
« La France pourrait devenir le premier État à disposer d’un prototype complet d’ordinateur quantique généraliste », ajoutait le président de la République. Coût total des deux phases : près de 800 millions d’euros.
Il faut dire que l’enjeu est important : « L’informatique est en passe d’être révolutionnée par l’ordinateur et l’algorithmique quantiques », explique Inria. S’il faut parler chiffres, ce marché est estimé à « plusieurs centaines de milliards de dollars ». Se mêlent également des questions de cybersécurité et cyberespionnage.
L’importance des langages quantiques
Dans son rapport, Inria rappelle que « différents modèles de calcul quantique existent, chacun contenant des forces et des faiblesses, mais surtout des spécificités propres ». Pour Harold Olivier, directeur de QuantumTech@Inria, une structure interne dédiée à l’informatique quantique lancée en avril 2021, ce sera aux langages quantiques de « gommer l’essentiel de ces différences tout en réalisant de façon automatisée les optimisations indispensables au bon fonctionnement de ces machines ». Des travaux sont en cours afin de rendre la programmation plus facile et donc accessible au plus grand nombre.
Les calculateurs quantiques existent, mais avec un nombre limité de qubits pour le moment. Que le point de suprématie soit dépassé ou non n’est finalement pas le plus important : les ordinateurs quantiques actuels ne sont pas encore au niveau des promesses et ne révolutionnent pas (encore) la cryptographie. Les progrès sont néanmoins rapides et nous sommes à une bifurcation.
- Suprématie quantique : « on est à un point de bifurcation »
- Avantage quantique en Europe : retour sur un choix sémantique lourd de sens
Le quantique côté logiciel n’est pas un long fleuve tranquille, loin de là. Le dernier exemple en date n’a que quelques semaines. En juillet, le NIST publiait sa liste de quatre algorithmes sélectionnés pour faire partie de la norme cryptographique post-quantique.
En complément des vainqueurs, « un prolongement de la campagne de standardisation est prévu pour quatre algorithmes : il s’agit des algorithmes d’établissement de clé BIKE, HQC, Classic McEliece (tous trois fondés sur les codes correcteurs d’erreur) et SIKE (fondé sur les graphes d’isogénies de courbes elliptiques) », explique l’ANSSI.
La belle affaire ? Eh bien non puisque le dernier – SIKE – peut être cassé en une heure seulement sur un PC classique, selon cette publication scientifique. C’est « clairement un coup dur pour SIKE », reconnaissait alors David Jao, professeur à l’University de Waterloo et co-inventeur de SIKE. « Cette attaque est vraiment inattendue », ajoute-t-il à nos confrères d’Ars Technica.
Début juillet, juste après la publication de la liste par le NIST, Stéphane Bortzmeyer expliquait que les algorithmes post-quantiques doivent en effet « résister à la cryptanalyse classique ». SIKE résistait encore à l’époque, et il citait un autre algorithme en exemple : Rainbow. Ce finaliste du concours du NIST était en effet tombé au champ de bataille : « Notre attaque renvoie la clé secrète après 53 heures en moyenne (un week-end) de temps de calcul sur un ordinateur portable classique ».
Même pour ceux qui ont résisté ce n’est que le début de l’aventure : « Maintenant que ces algorithmes ont été choisis, verra-t-on dès demain TLS, SSH, DNSSEC et les autres utiliser des algorithmes post-quantiques ? Non, car il reste plusieurs étapes à franchir », précisait Stéphane Bortzmeyer.
Fiabilité et correction d’erreurs
Inria explique que « le passage à l’échelle de ces machines est encore problématique en raison de l’accumulation d’erreurs qui ne sont pas corrigées ». Il existe des solutions – notamment la tolérance aux fautes et l’autocorrection –, mais ces techniques « devront être encore plus largement développées et déclinées en architectures complètes ».
Trois objectifs sont à atteindre pour que les ordinateurs quantiques puissent prendre leur envol : « calculer longtemps, de façon fiable, et avec suffisamment de qubits ». C’est le cas sur les calculateurs classiques, mais ces conditions sont aussi « nécessaires pour matérialiser l’avantage quantique ».
Marie-Hélène Pautrat, directrice des partenariats européens chez Inria, rappelle à juste titre que le calcul quantique est l’objet de nombreuses recherches dans plusieurs disciplines : sciences physiques, mathématiques, biologie, etc.
« Pour éviter une trop forte fragmentation et duplication des initiatives, mobiliser les investissements nécessaires pour atteindre une masse critique et permettre à l’Europe d’avoir un leadership dans le domaine quantique, il faut veiller à ce que les efforts entrepris dans les États membres se coordonnent à l’échelle européenne », ajoute-t-elle.
Les qubits de chat d’Alice & Bob
Dans son rapport, Inria met en avant la startup Alice & Bob, créée par Théau Perronin et Raphaël Lescanne, des anciens d’une équipe commune Inria et ENS. « Ils développent un ordinateur quantique révolutionnaire, car débarrassé de son problème n° 1 : les multiples erreurs générées par les bits quantiques (qubits) ».
Pour cela, ils mettent au point des « qubits supraconducteurs "idéaux" [appelé "qubits de chat" en hommage au chat de Schrödinger, ndlr], capables de corriger d’eux-mêmes une partie de leurs erreurs ». C’est une approche différente de celles des géants du secteur, notamment Amazon, Google et IBM, qui augmentent le nombre de qubits pour corriger le tir.
Sur son site, la société explique développer « actuellement [son] premier qubit de chat logique », qui ne devrait pas arriver avant plusieurs années. Sur BFM Business, Théau Perronin expliquait que le quantique dans l’informatique « c’est avant tout une course de physique fondamentale ». Ce n’est pas qu’une question d’argent, mais aussi de talents.
Inria met aussi en avant la thèse de Thomas Debris-Alazard sur la cryptographie fondée sur les codes correcteurs d’erreurs, récompensée par le prix Gilles Kahn : « Le principe ? Chiffrer les messages grâce à ces codes, qui modifient le contenu d’une façon très spécifique, impossible à reproduire. Le destinataire peut identifier l’émetteur et vérifier que le contenu de départ n’a pas été transformé ».
Un enjeu majeur, aussi bien scientifique que géopolitique
Inria rappelle enfin que le quantique n’est pas une nouvelle thématique : ses premiers travaux sur le sujet datent de 2001. L’Institut dispose aujourd’hui de cinq équipes-projets et travaille avec de nombreux partenaires. En avril 2021, il a lancé le programme QuantumTech@Inria « pour définir et accélérer le déploiement de la stratégie ».
Cécile Vigouroux, directrice des relations internationales chez Inria, explique de son côté que le quantique est « un enjeu scientifique et géopolitique majeur ».
Rappelons que lorsque des calculateurs quantiques seront suffisamment puissants, ils pourront casser des algorithmes asymétriques très rapidement, notamment RSA. Des services de renseignements comme la NSA engrangent des données chiffrées en mode écureuil en attendant de pouvoir un jour les décrypter (et pas déchiffrer, vu qu'elle n'a pas les clefs).
Commentaires (13)
#1
Pour le moment, depuis que les occidentaux parlent de nouvel ordre mondial, on voit surtout du désordre mondial. Y compris dans notre domaine. Firewall Chinois, cyber-guerres sur le point de démarrer, l’Ouest qui banni la Russie du système Swift, les GAFAM qui ne sont rien d’autres que des dépendances de la NSA etc. Il n’y actuellement pas d’ordre mondial et il n’y en aura probablement pas malgré notre arrogance et notre prédation…
#2
Mon petit grain de sel : je m’étonne que David Jao s’étonne. Je ne suis pas un docteur en crypto (j’en connais
), mais dans ce petit monde on s’accorde sur le fait que les premières versions d’algos se font en général plomber au moins une fois au début : c’est l’éternel problème en sécurité informatique où le défenseur n’a pas le droit à la moindre erreur, alors qu’il suffit d’une erreur à l’attaquant.
Certes les algos sont créés avec l’idée qu’ils vont être attaqués (hélas on vit dans un monde plein de méchants), mais il est impossible de faire le tour des attaques imaginables “en chambre”. La publication fait office de top départ pour toutes les équipes s’intéressant à la crypto pour tenter de casser le nouveau venu. Cela permet d’évaluer la robustesse du nouvel algo, de corriger les faiblesses, ou d’abandonner si le défaut est trop critique.
En résumé : ça n’était pas souhaité, mais prévisible !
#3
Dans un registre proche, ça me fait penser à la récente faille (SQUIP) des CPU Zen d’AMD qui, lorsque SMT est activé, permet de casser une clef RSA-4096 en ~38 minutes
Les algos c’est chouette, mais il est aussi possible de s’attaquer à la machine qui exécute ledit algo pour observer des choses que l’on ne devrait pas devoir pouvoir observer. Enfin bref, c’est un domaine abominable de complexité, et j’aurais bien du mal à critiquer les gens qui bossent dans le domaine de la sécu.
#4
Comme l’a indiqué Tsinpen dans un commentaire de l’article précédent, je trouve aussi que ne pas mettre de « l’ » devant « Inria » sonne faux, étant donné que c’est un acronyme pour « Institut national de recherche en informatique et en automatique ». J’ai toujours entendu prononcer « l’Inria » par des connaissances qui y travaillaient. L’article Wikipédia l’écrit comme cela.
#4.1
Inria n’a visiblement pas été informée de la façon dont Wikipedia considère comment la designer.
#4.2
Toutes les abréviations que je connais qui commencent par “institut” (ou régie ou société ou tout autre nom commun) sont affublées d’un article. Il s’agit d’une faute de français pure et simple. On peut multiplier les exemples : on dit un INSA ou l’INSA, pas INSA, la SNCF, pas SNCF, la RATP, pas RATP, etc.
Ce n’est pas d’ailleurs la signification originale de cette abréviation, c’en est une très curieuse et malheureuse évolution, qui comme dit plus haut par Fabimaru, sonne faux. C’en est même ridicule, pour tout dire.
Dans mon entreprise aussi, on a des gens qui n’ont rien d’autre à faire que de changer des choses simples et claires en des situations tordues et incompréhensibles voire erronées. On dirait que c’est l’époque qui veut ça.
#4.3
“Inria” n’est pas plus un acronyme mais un nom comme “Microsoft” ou “Apple”. Il a été décidé il y a quelques années d’abandonner l’acronyme qui était un peu dépassé avec sa référence à l’automatique et en français.
Dans le même genre tu as l’Institut Français du Pétrole (IFP) qui est devenu IFP Énergies nouvelles. Les lettres “IFP” ne sont plus un acronyme afin de faire disparaître le “Pétrole” qui n’était plus trop à la mode.
#4.5
Merci, je l’apprends. En fait idem pour Inrae.
#4.4
Je ne faisais que de relayer le fait qu’ils se désignent ainsi, d’où le fait qu’il n’y a pas erreur.
#5
L’édition n’est vraiment pas possible longtemps ici !
#6
Il y a un truc que me trouble avec la “crypto” quantique.
De ce que j’ai compris du truc c’est que si qqun essai de décrypter un message en cours de transit il le transforme et qu’un le sait tout de suite.
Mais si le message est transformé il en devient inutilisable, non ?
Donc à défaut de pouvoir le décrypté l’attanquant en empêche sa transmission. Et coupé les moyens de communication sécurisé c’est déjà gagner la bataille (à défaut de la guerre).
Cela ne doit pas être aussi simple, donc si qqun veut bien m’aider et me dire où est l’erreur dans ma déduction, merci par avance.
#6.1
En fait, la cryptographie quantique peut désigner deux choses :
La sécurisation du canal ne parle pas de cryptographie. Il s’agit de rendre l’interception impossible, via notamment l’intrication quantique. Point qui semble correspondre à votre commentaire. Dans ce cas, si j’ai bien compris aussi (car je ne suis pas spécialiste quantique !) il y a un émetteur qui discute avec un récepteur. Ils sont couplés et on ne peut pas les dissocier pour les appareiller à d’autres. Un avantage de l’utilisation de l’intrication quantique, c’est qu’elle fonctionne à distance “sans support”. Pas besoin de câble, de fibre optique ou ondes radio. L’inconvénient, c’est qu’il faut un émetteur/récepteur par “interlocuteur”. En l’état actuel des choses, autant dire que la sécurisation d’un canal via ce mécanisme ne sera utilisé que dans des cas bien particuliers.
Quand les propriétés quantiques sont utilisées pour décrypter les données, les données sont chiffrés par un moyen traditionnel comme le AES, RSA, etc… Le quantique n’est utilisé que pour “casser” la clé. L’intégrité des données n’est donc pas touchée.
Et des travaux sont en cours pour mettre au point des algorithmes “classiques” (dans le sens, qui s’exécute sur un processeur traditionnel non quantique) qui puissent résister aux attaques quantiques.
#6.2
Effectivement je me place dans le contexte 1er. Càd la sécurisation du canal, et c’est là d’où part mon résonnement.