fr.wedoany.com Rapport : La capacité des ordinateurs quantiques à briser la cryptographie à clé publique constitue une menace réelle pour les identifiants conservés à long terme. Dans son rapport sur l'échéancier des menaces quantiques pour 2025, le Global Risk Institute indique que 51 % à 70 % des experts en sécurité interrogés estiment qu'un ordinateur quantique capable de jouer un rôle cryptographique pourrait voir le jour d'ici 15 ans. Cette menace découle du principe démontré par Peter Shor en 1994 : un ordinateur quantique puissant peut factoriser efficacement de grands nombres et calculer des logarithmes discrets. Cependant, l'algorithme de Shor ne s'applique qu'à la cryptographie à clé publique comme RSA et la cryptographie sur courbes elliptiques, et ne constitue pas une menace substantielle pour le chiffrement symétrique tel que AES-256 ou les fonctions de hachage modernes. Les attaquants peuvent actuellement adopter la stratégie « Récolter maintenant, déchiffrer plus tard » (Harvest Now, Decrypt Later), qui consiste à capturer et stocker le trafic chiffré actuel pour le déchiffrer lorsque les ordinateurs quantiques seront disponibles. Étant donné qu'un ordinateur quantique pratique verra probablement le jour d'ici 15 ans, toute donnée interceptée aujourd'hui doit être considérée comme déjà compromise.

Les agences gouvernementales fixent des échéances pour le changement obligatoire de la cryptographie, autour du jalon appelé « Q-Day ». La « Commercial National Security Algorithm Suite 2.0 » de la National Security Agency (NSA) exige que les nouveaux systèmes de sécurité nationale prennent en charge les algorithmes résistants aux quantiques à partir du 1er janvier 2027, et prévoit que tous les systèmes de sécurité nationale soient résistants aux quantiques d'ici 2035. Parallèlement, le projet de norme IR 8547 du National Institute of Standards and Technology (NIST) prévoit d'abandonner RSA-2048 et ECC P-256 après 2030, et de les interdire complètement après 2035. La transition complète pour les entreprises pourrait prendre de 5 à 15 ans, et la seule phase de découverte dans les grandes entreprises pourrait nécessiter 1 à 2 ans.

Toutes les données chiffrées au sein d'une organisation ne sont pas exposées au même risque. La durée de vie de la confidentialité de la plupart des secrets (comme les jetons de session) se compte en mois, tandis que les identifiants peuvent durer plusieurs années, ou aussi longtemps que la durée de vie des systèmes auxquels ils sont associés. Cela fait des identifiants une cible idéale pour les attaquants qui les récoltent et les conservent en attendant qu'un ordinateur quantique puisse les déchiffrer. L'ampleur du risque est particulièrement influencée par la croissance du nombre d'identités non humaines (NHI, comme les comptes de service et les clés API) au sein d'une organisation. Ces identifiants machines ont souvent une longue durée de vie et leur exposition cryptographique n'est pas inventoriée.

Étant donné que le risque se concentre sur les identifiants, la migration devrait commencer par là. Les organisations devraient adopter une approche priorisant les identifiants, comprenant l'inventaire de la cryptographie existante, la priorisation en fonction du risque plutôt que de la taille, la migration vers une cryptographie hybride, et la construction d'une agilité cryptographique. La phase d'inventaire nécessite de localiser les systèmes qui détiennent ou agissent en tant que proxies pour les secrets, y compris les gestionnaires de mots de passe, les gestionnaires de secrets et les plateformes de gestion des accès privilégiés (PAM). La migration devrait utiliser une cryptographie hybride, combinant des algorithmes classiques et résistants aux quantiques dans le même échange de clés, afin de se protéger contre les attaquants actuels et futurs. Parallèlement, les organisations devraient construire avec une mentalité d'agilité cryptographique, de sorte que le remplacement d'algorithmes devienne un changement de configuration plutôt qu'une réingénierie.

Keeper Security a déjà déployé la cryptographie résistante aux quantiques dans toutes ses applications client en novembre 2025, en utilisant le mécanisme d'encapsulation de clé hybride Kyber (KEM), afin d'aider à protéger les coffres de mots de passe contre les menaces « Récolter maintenant, déchiffrer plus tard » et autres menaces de l'informatique quantique. Les organisations devraient dès maintenant prioriser la protection des identifiants contre les menaces quantiques futures, plutôt que d'attendre que du matériel plus avancé les force à agir.