Le guide de Red Sift sur la cryptographie post-quantique

Janvier 2026

RÉSUMÉ EXÉCUTIF : La cryptographie telle que nous la connaissons et l’utilisons aujourd’hui est menacée par l’informatique quantique, une nouvelle technologie qui promet de créer des ordinateurs reposant sur des principes entièrement différents. Si un ordinateur quantique pertinent pour la cryptographie [note 1] venait à être construit—si ce n’est pas déjà le cas—il pourrait littéralement casser les algorithmes cryptographiques les plus populaires d’aujourd’hui du jour au lendemain. Une action urgente est nécessaire pour comprendre la menace et migrer vers des algorithmes de chiffrement sûrs avant qu'il ne soit trop tard.

La cryptographie post-quantique est un domaine en évolution rapide. Nous tiendrons ce guide à jour au fur et à mesure de l’évolution de la situation ; pensez à consulter les mises à jour de temps en temps.

L’informatique quantique arrive, avec un impact attendu très important sur la cryptographie. Tout ne sera pas affecté de la même manière, mais certains de nos principes fondamentaux — la cryptographie à clé publique — seront complètement brisés. L’algorithme de Shor, qui nécessite un ordinateur quantique pour fonctionner, cassera les primitives les plus populaires actuellement, par exemple le chiffrement RSA et à courbes elliptiques, ainsi que l’échange de clés Diffie-Hellman [note 2]. Un autre, l’algorithme de Grover, est jugé efficace contre le chiffrement symétrique et le hachage, mais à beaucoup plus petite échelle, ce qui le rend moins dangereux. Ces algorithmes ont été conçus respectivement en 1994 et 1996.

Les organisations de premier plan possédant une propriété intellectuelle significative, ainsi que toute personne manipulant des secrets d'État, seront probablement les premières cibles. Si vous appartenez à ce groupe à risque élevé, non seulement vous êtes concerné, mais vous devez agir immédiatement. Cela ne vous surprendra probablement pas, car il y a de fortes chances que vous soyez déjà engagé dans une cyberguerre intensive par des moyens conventionnels ; les ordinateurs quantiques ne sont qu’une préoccupation de plus à gérer.

Toute le monde sera concerné, même si ce ne sera pas au même rythme. À long terme, lorsque les ordinateurs quantiques seront courants, la cryptographie d’aujourd’hui pourra devenir totalement insuffisante face à des adversaires nettement moins puissants. Pour l’instant, il s’agit surtout de gestion des risques. Vous devrez vous poser trois questions :

1. Avez-vous des secrets à protéger pendant des décennies ?
2. Êtes-vous une cible probable ?
3. Quand pourriez-vous être ciblé ?

La National Security Agency (NSA) américaine a lancé la migration vers la cryptographie post-quantique avec une mise à jour du NSA Suite B Cryptography en août 2015. Le National Institute of Standards and Technology (NIST) a officiellement lancé son projet en 2016, misant sur la collaboration avec la communauté cryptographique et l’organisation de concours pour identifier les meilleurs algorithmes résistants au quantique.

En octobre 2020, le NIST a normalisé deux algorithmes de signature à hachage avec état : LMS et XMSS. Ce sont des algorithmes spécialisés dont la sécurité repose sur les propriétés des fonctions de hachage cryptographiques. Ils ont été retenus les premiers car les concepts sous-jacents étaient bien compris. Parce qu’ils exigent une gestion minutieuse de l’état, ces algorithmes conviennent à des cas d’usage en faible volume et à forte valeur, par exemple la signature de code.

En août 2024, le NIST a normalisé une nouvelle série de primitives conçues pour des applications polyvalentes :

• ML-KEM. Anciennement appelé CRYSTALS-Kyber, il s’agit du nouveau standard pour l’encapsulation de clé (un nouveau mécanisme amélioré d’échange de clés).
• ML-DSA. Anciennement CRYSTALS-Dilithium, nouveau standard pour les signatures numériques.
• SLH-DSA. Anciennement Sphincs+, nouveau standard pour les signatures numériques. Utilisant des mathématiques différentes, il est prévu en alternative de secours pour ML-DSA.

D’autres normes sont à prévoir :

• FN-DSA. Anciennement FALCON, nouveau standard pour les signatures numériques, avec adoption prévue pour 2025.
• D’autres schémas de signature sont en cours d’évaluation, avec les prochaines étapes attendues en 2026.
• HQC. Un algorithme de secours pour ML-KEM, basé sur des mathématiques différentes, retenu pour normalisation en mars 2025. Le processus devrait se terminer en 2027.

Parallèlement, l’International Organization for Standardization (ISO) envisage les algorithmes Classic McEliece et FrodoKEM, tous deux pour l’encapsulation de clé. Ces deux solutions sont considérées comme plus conservatrices et donc plus sûres que celles adoptées par le NIST. Elles sont aussi adoptées ou à l’étude dans l’Union européenne.

Beaucoup des algorithmes post-quantiques sont totalement nouveaux, ce qui signifie qu’ils n’ont pas encore été suffisamment testés pour garantir leur robustesse. Parce qu’il faut agir vite, des algorithmes fondés sur différents principes mathématiques ont été retenus pour la diversité et comme solutions de secours. Si leur robustesse se confirme, les acronymes mentionnés ici deviendront aussi familiers que RSA, ECDSA, DH et ECDHE aujourd’hui.

Il est également possible d’adopter des approches hybrides, intégrant des primitives cryptographiques classiques et post-quantiques dans un même ensemble. Ainsi, l’échec d’une nouvelle primitive post-quantique n’abaissera pas la sécurité en dessous de celle que nous avons actuellement.

Dans TLS 1.3, un échange de clé hybride appelé X25519MLKEM768, basé sur une combinaison des algorithmes ECDHE et ML-KEM, a été adopté (ou est en cours d’adoption) par tous les principaux navigateurs et de premiers serveurs côté serveur. Il protège déjà d’importants volumes de trafic Internet.

La mise à jour des certificats X.509 sera plus difficile, surtout car les nouveaux algorithmes post-quantiques utilisent des signatures nettement plus longues. Si l’on se contentait de remplacer simplement les algorithmes, une poignée TLS augmenterait le trafic réseau de dix fois. Cela est jugé excessif pour les navigateurs, même si cela peut être acceptable en infrastructures PKI privées. La mise à jour des PKI Internet et Web, en particulier, sera difficile à cause de sa décentralisation profonde.

Certaines des principales plateformes de messagerie — par exemple Apple et Signal — ont déjà mis à jour leurs protocoles pour se défendre contre les ordinateurs quantiques. En tant qu’utilisateurs, il nous suffit d’installer les dernières versions pour bénéficier de ces améliorations.

De nombreuses autres normes sont actuellement en cours d’élaboration par des groupes de travail IETF. La transition pose de nombreux défis. Par exemple, les nouveaux algorithmes auront des caractéristiques de performance et des besoins en espace de stockage différents, ce qui peut parfois obliger à revoir les protocoles. Les discussions prendront du temps ; de même, l’arrivée de ces standards dans les bibliothèques logicielles sera progressive.

Bien que de nombreux pays soient alignés autour du NIST, l'ISO poursuit une voie de normalisation distincte, de même que certains pays comme la Chine, la Russie et la Corée du Sud.

L’usage éphémère (court terme) du chiffrement à clé publique reste sûr et le sera tant qu’aucune percée n’aura eu lieu. Même à ce moment-là, il faudra un certain temps avant que la nouvelle technologie soit largement disponible.

Malheureusement, si vous êtes dans la catégorie urgente, il est peut-être déjà trop tard. C’est l’une des principales raisons de la nécessité d’accélérer la transition. Pour comprendre pourquoi, considérez les scénarios suivants :

• Des adversaires puissants peuvent capturer aujourd’hui vos données chiffrées. Même s’ils ne peuvent pas encore les casser, ils peuvent les stocker patiemment jusqu’à ce qu’un ordinateur quantique soit disponible, puis casser le chiffrement et révéler vos secrets. Cette attaque est souvent appelée « collecter maintenant, déchiffrer plus tard » ou « stocker maintenant, déchiffrer plus tard ». Des acteurs étatiques enregistrent traditionnellement le trafic réseau pour l’analyser. Avant, cela concernait le texte en clair, puis les métadonnées, mais aussi le trafic chiffré. Certains trafics chiffrés importants—par exemple, l’email—sont de petits volumes et peuvent être stockés aujourd’hui pour être déchiffrés plus tard. En 2021, les analystes de Booz Allen Hamilton, un cabinet de conseil, ont publié un rapport affirmant que des groupes de cybermenaces chinois avaient commencé à enregistrer du trafic chiffré dès 2020. Depuis 2022, Google protège le trafic de son réseau interne via la cryptographie post-quantique. Les sauvegardes chiffrées sont aussi une cible évidente. Il en va de même pour les architectures cryptographiques centralisées, où casser une clé centrale pourrait dévoiler une profonde hiérarchie de clés de chiffrement.
• Les signatures numériques créées aujourd’hui doivent rester fiables pendant des décennies. Aujourd’hui fiables, ces signatures pourraient devenir invalides dans quelques années. Prenons les contrats : un ordinateur quantique pourrait, à l’avenir, forger un document signé avec la cryptographie actuelle de manière indiscernable d’un original, ou nier la signature. Les clés privées de longue durée et la signature de code relèvent aussi de cette catégorie.
• Systèmes physiques difficiles ou coûteux à mettre à jour. Il existe des plateformes, comme certains appareils industriels Internet des objets (IoT), qui sont installées pour des durées de vie longues, parfois des décennies, et difficiles, chères voire impossibles à mettre à jour. Les nouveaux algorithmes post-quantiques pourraient, par exemple, nécessiter des performances matérielles non disponibles. Ces appareils pourraient devenir vulnérables dans les années à venir.

Pour la plupart des organisations, il est recommandé de commencer à travailler sur les mesures correctrices dès que possible. Les petites structures pourront aller plus vite, mais, dans les environnements complexes, la transition devrait prendre entre 5 et 10 ans. Par ailleurs, de nombreux gouvernements ont publié des calendriers de migration ; consultez le vôtre pour savoir si vous êtes concerné et pour connaître les étapes à suivre.

La première étape doit consister à collecter suffisamment d’informations pour réaliser une analyse des risques et déterminer si, dans votre cas, la migration post-quantique requiert une action urgente. Selon la taille de votre organisation, cela peut représenter une charge substantielle. Il est sans doute judicieux de commencer par un exercice initial rapide pour mieux cerner l’ampleur de la tâche. Le processus doit inclure les étapes suivantes :

1. Inventoriez les données : recensez tous les types de données sous votre responsabilité, qu’elles soient stockées sur vos propres infrastructures ou gérées par des tiers. Comprenez leur nature et leur sensibilité.
2. Inventoriez les actifs cryptographiques : interrogez vos développeurs et équipes DevOps pour identifier vos actifs cryptographiques (clés, certificats, primitives…). Passez vos systèmes au crible et surveillez le trafic réseau pour identifier des indices précieux. N’oubliez pas non plus d’auditer logiciels et matériels embarquant de la cryptographie.
3. Inventoriez les fournisseurs : listez tous les tiers manipulant vos données pour votre compte. Vous devrez leur faire part très tôt dans la démarche de vos besoins post-quantiques.
4. Inventoriez la réglementation applicable : recensez toutes les lois et règlements qui s’appliquent à vous. Notez les exigences et échéances associées.
5. Évaluez le risque : évaluez votre exposition. Déterminez si vous êtes où vous devez être et quels sont les écarts.

Vous serez dans la catégorie urgente si vous manipulez des données sensibles présentant un intérêt pour des États. En décidant, prenez en compte le type de données détenues ainsi que la durée nécessaire de protection. Tout ce qui touche aux secrets d’État, à l’activité militaire, aux crypto-monnaies, à la propriété intellectuelle à forte valeur entre dans ce groupe. Si vous raisonnez à plus de dix ans, vous êtes clairement dans la catégorie urgente. Si vous fournissez des services à d’autres organisations, il y a fort à parier que vous aussi devrez agir plus tôt.

Au fil des audits, vous constaterez sans doute que vous n’êtes pas suffisamment préparé face à ce défi. C’est le cas de la majorité des organisations. Profitez-en pour améliorer vos processus dans les domaines suivants :

• Gestion des actifs : gardez une vue constante de ce qu’il faut protéger, contre qui, et pendant combien de temps.
• Gouvernance de la cryptographie : définissez des politiques et contrôles pour garantir la bonne gestion des clés/algorithmes et l’établissement de liens avec les actifs.
• Découverte et inventaire de la cryptographie : mettez en place un inventaire systématique et à jour de vos actifs cryptographiques (clés, algorithmes…).
• Agilité cryptographique : définissez des procédures pour pouvoir réagir rapidement si vous détectez des failles de contrôle dans l’étape précédente.

Une fois votre environnement cartographié, vous pouvez vous concentrer sur les recommandations techniques, présentées dans la section suivante.

Désormais, tous les grands États ont publié des recommandations de migration post-quantique. Malgré quelques différences, un consensus général se dessine sur les points et calendriers clés :

1. Lancez immédiatement la planification et le triage.
2. Commencez la migration dès que possible ou d’ici 2026.
3. Terminez les tâches prioritaires avant 2030.
4. Achevez la migration complète pour 2035.

Aux États-Unis, la NSA a choisi un calendrier légèrement avancé : pour les systèmes à sécurité renforcée (National Security Systems), tous les travaux doivent être terminés en 2033.

Côté technique, les recommandations sont les suivantes :

• Adopter les standards post-quantiques dès qu’ils sont disponibles.
• Abandonner progressivement les algorithmes RSA, EC, DH et ECDH.
• Passer au chiffrement symétrique 256 bits (ex. AES-256).
• Passez aux fonctions de hachage 384 bits.

Un débat existe sur l’opportunité de recourir durablement ou non à des approches hybrides (combinaison d’anciens et nouveaux algorithmes). Certaines organisations font suffisamment confiance aux algorithmes post-quantiques pour estimer que la complexité accrue des modes hybrides n’en vaut pas la peine sur le long terme. Ainsi, la NSA, par exemple, interdira les algorithmes hybrides dans la Commercial National Security Algorithms (CNSA) suite 2.0 après 2030 (signature logicielle et firmware, équipement réseau) et après 2033 (tous autres cas).

Lorsque l’on parle de cryptographie post-quantique, on désigne la cryptographie conçue pour résister à des ordinateurs quantiques pertinents. Mais les principes de la mécanique quantique peuvent être utilisés à d’autres fins ; c’est pour cela que vous trouverez peut-être aussi des références à réseaux quantiques, cryptographie quantique, distribution quantique de clés, génération quantique aléatoire, etc.

Bien que leurs noms se ressemblent, il ne s’agit pas de la même problématique : ces technologies suivent leur propre développement. En pratique, cependant, elles sont globalement non recommandées aujourd’hui.

L’agilité cryptographique désigne la capacité à changer rapidement et facilement les algorithmes/primitives cryptographiques sans perturber les opérations. On débat beaucoup d'agilité dans le contexte post-quantique car jamais un changement aussi massif n’a été amorcé dans l’Histoire — et il y a fort à parier que cela doit se reproduire dans le futur.

La cryptographie est récente : la cryptographie à clé publique a à peine cinquante ans. Il est à prévoir que ce que nous apprendrons dans le futur aura un impact sur la sécurité des systèmes cryptographiques d’aujourd’hui. Avec la vague post-quantique, on entre dans une époque d’incertitude : il faut savoir faire évoluer notre cryptographie si l’on veut toujours garder une longueur d’avance sur nos adversaires.

La découverte cryptographique est la première étape vers la constitution d’un inventaire des actifs cryptographiques, cette dernière étant nécessaire pour parvenir à l’agilité. Certains aspects de la gestion des inventaires peuvent être automatisés, mais d’autres nécessitent des tâches manuelles beaucoup plus lentes.

La découverte cryptographique s’appuie sur de bons outils. Pour l’infrastructure publique, il s’agit généralement de surveiller d’énormes volumes de données pour identifier les actifs correspondants. Red Sift Certificates a été conçu précisément pour cela. Il surveille l’infrastructure publique mondiale et dresse un inventaire automatique des domaines clients, sous-domaines, certificats et réseaux. Ce processus est automatique et continu. L’ensemble des services publics détectés est inspecté afin de déterminer la configuration, y compris les paramètres cryptographiques (protocoles, suites de chiffrement, algorithmes des clés privées…). Le résultat : un inventaire complet et toujours à jour des actifs cryptographiques publics, pour un minimum d’efforts après configuration initiale. Un déploiement rapide de Red Sift Certificates offre une visibilité quasi instantanée sur l’exposition post-quantique de votre organisation vers l’extérieur.

En ce qui concerne la communication réseau interne, certaines informations peuvent être obtenues par la surveillance du trafic réseau, ce qui permet d’identifier les protocoles négociés et les paramètres cryptographiques associés. En l’absence d’un tel dispositif, le déploiement d’une surveillance réseau complète est à lui seul un vaste chantier.

Le reste du travail consiste à découvrir les aspects non détectables de l’extérieur, c’est-à-dire comprendre l’architecture des systèmes internes et explorer les dépôts de code source pour identifier où la cryptographie est utilisée, où sont stockés les actifs cryptographiques comme les clés de chiffrement, etc.