• il y a 11 mois
Transcription
00:00 Alors maintenant, nous avons une opération de visioconférence avec Jean-Jacques Quiscater.
00:09 Je vais attendre de la voir.
00:13 Ah ! Jean-Jacques, est-ce que tu m'entends ?
00:22 Oui, je t'entends. Bonjour Jean-Louis.
00:25 Bonjour Jean-Jacques. D'abord, je suis très content de te voir parce que tu m'avais fait une petite frayeur la semaine dernière.
00:33 Mais je vois que tu t'es bien soigné et que ta voix est claire.
00:39 Merci.
00:41 On va passer peut-être une photo dans l'introduction, là-haut.
00:46 C'était pour te montrer ta photo en compagnie de quelqu'un que tu connais bien.
00:52 C'était... Voilà.
00:56 Tout le monde reconnaît, à côté de Jean-Jacques, M. David Kahn,
01:04 le grand historien de la cryptologie américaine par qui beaucoup de secrets ont été révélés.
01:11 Cette photo a été prise au Mont-Valérien
01:15 quand on préparait la première exposition nationale de cryptologie qui s'est déroulée à Rennes en 2012.
01:26 Et David Kahn était venu nous donner ses conseils.
01:30 Donc, deux monstres sacrés réunis au Mont-Valérien, un haut lieu de transmission militaire française, ça se salue.
01:39 Alors, après avoir fait peur à notre public en évoquant les risques pesant sur nos fréquences avec Catherine,
01:48 les menaces portant sur, on peut dire, de souveraineté de l'individu sur sa vie avec Solange,
01:58 la neutralisation de nos hôpitaux avec Cédric,
02:02 nous nous apprêtons avec toi à connaître le pire des cauchemars pour les cryptologues,
02:08 c'est-à-dire la chute de nos algorithmes favoris, symétriques ou asymétriques,
02:14 avec l'arrivée des ordinateurs quantiques.
02:17 Une véritable cataclypse, comme il y a déjà plusieurs années, tu avais qualifié ce phénomène.
02:23 Eh bien, je vais te donner l'occasion de nous en dire encore plus. À toi.
02:30 Merci, mais je n'ai pas de partage d'écran pour l'instant. Il est désactivé.
02:37 La cabine a entendu la requête.
02:45 Ça va venir.
02:58 Merci.
03:26 Un grand moment de solitude.
03:29 Je vois quelqu'un courir là-haut. Ça devrait bien marcher.
03:40 Je peux commencer sans commencer ?
03:45 Oui, bien sûr.
03:47 Tu nous as invités.
03:49 Non, mais je crois que je vais flinguer la journée de Cédric avec mon exposé.
03:56 Parce qu'on le verra tout à l'heure, peut-être, si j'ai le temps,
04:04 mais tout le matériel médical qui viendra des États-Unis
04:08 devra changer tous ses algorithmes de protection
04:12 et ça ne va pas faire du bien au secteur médical européen.
04:17 Et très vite.
04:20 Il faudrait partager l'écran.
04:27 Mais je ne fais que ça.
04:30 Il essaye.
04:32 Mais l'écran local.
04:35 Bien sûr, l'animateur a désactivé le partage d'écran par les participants.
04:41 Je suis un des participants, donc je n'ai pas.
04:44 (Propos inaudibles)
04:50 (...)
04:53 (...)
04:56 (...)
04:59 (...)
05:02 (...)
05:05 (...)
05:08 Je suis désolé, mais...
05:11 (Propos inaudibles)
05:14 (...)
05:17 (...)
05:20 (...)
05:23 (...)
05:26 (...)
05:29 (...)
05:32 (...)
05:35 De toute façon, on n'est que deux, donc on peut mettre le partage d'écran pour tout le monde.
05:40 (...)
05:43 (...)
05:48 (...)
05:51 (...)
05:54 (...)
05:57 Ça ne marche toujours pas.
05:59 J'essaye toutes les cinq secondes.
06:02 (...)
06:05 (...)
06:08 Ça y est.
06:11 Maintenant, il faut que je trouve mon...
06:14 Ça va, c'est OK.
06:18 Attendez.
06:21 Fichier.
06:23 Ah, non.
06:26 Non.
06:28 Attendez.
06:30 (...)
06:33 J'ai un problème, je ne trouve pas...
06:37 Oui, ça marche, mais je n'ai pas...
06:41 Je n'ai pourtant pas beaucoup de fichiers ouverts.
06:44 Je vais...
06:47 Enfermer.
06:49 Attendez.
06:52 (...)
06:57 Ah.
06:59 J'ai perdu la...
07:02 Connexion.
07:07 Allô ? J'ai perdu la connexion. Je n'ai pas...
07:11 Je n'ai plus...
07:15 Je dois me reconnecter.
07:19 Apparemment.
07:24 J'entends, mais je ne suis pas...
07:27 En tout cas, on te voit bien.
07:30 J'ai perdu la connexion.
07:33 Bon, bon, attendez. Je vais rendre le lien.
07:38 Le voilà.
07:41 Désolé, mais ça allait être plus compliqué que prévu.
07:46 Voilà. Donc, ça va.
07:49 Je fais le partage d'écran prévu.
07:53 Et maintenant...
07:57 Voilà.
08:01 Euh...
08:05 Ça va déjà mieux.
08:09 Je dois juste retrouver mon exposé. Je l'ai.
08:13 Voilà.
08:16 On est sauvés.
08:20 Ça va comme ça ?
08:23 Oui, apparemment, oui. Bon, mais merci beaucoup.
08:27 Désolé de la durée. Bon, donc, je vais vous parler, en fait,
08:32 d'un changement, je dirais, radical qui est en train de se passer
08:37 dans la cryptologie civile.
08:41 Donc, un peu de façon provoquante, j'ai intitulé ça
08:46 "Ressa est bientôt mort". Dans la présentation de mon exposé,
08:51 vous avez 100 points d'interrogation. J'ai ajouté un point d'interrogation,
08:56 mais on verra tout à l'heure pourquoi. Bon, alors, je vais aller assez vite,
09:01 malheureusement, parce qu'il y a beaucoup de choses à dire. Et d'autre part,
09:05 j'ai déjà fait un exposé récemment dans le poulain indique de la cybersécurité,
09:09 et j'ai essayé que ce soit assez différent, même si tous les transparents sont repris.
09:13 Voilà. Bon, je ne me présente pas. Il y aura des raccourcis,
09:17 donc les spécialistes ne seront pas toujours heureux. C'est ce que je voudrais dire
09:22 en introduction d'abord. Et il y a un autre point aussi, c'est que l'aspect géopolitique
09:28 est bien plus important que ce qu'on a compris en Europe. Bon, donc, le RPSA.
09:34 Maintenant, on voit le post-quantique absolument partout.
09:40 Ici, c'est une page du site de Kapersky. Vous avez aujourd'hui à Londres
09:49 une conférence de hackers qui s'appelle Black Hat.
09:56 Et en ce moment, la flèche bleue en bas, il y a quelqu'un qui parle de post-quantique,
10:02 de la cryptographie. Donc, j'ai en parallèle, purement quantique,
10:07 quelqu'un qui parle de la même chose que moi à Londres.
10:12 Alors, dans les annonces récentes, voilà, IBM a annoncé hier qu'ils avaient fabriqué
10:25 une puce quantique avec 1000 qubits. Bon, maintenant, ce n'est pas encore la merveille
10:33 qui casse tout, mais c'est quand même une annonce importante, c'est une étape.
10:37 Et c'est IBM qui sont les premiers pour l'instant.
10:41 Alors, il y a un autre concept. Maréchal Louis a parlé de Cataclypse.
10:50 C'est le concept de QD. Alors, c'est quoi ? C'est le jour où les ordinateurs quantiques
10:57 universels seront suffisamment puissants pour casser tout ce qui est en ligne pour l'instant.
11:05 Et donc, ça, ce sera vraiment le Cataclypse. Et le problème, c'est de savoir à quelle date
11:11 ça existera, si ça existera. Alors, bon, il y a plein de gens qui se posent des questions
11:19 comme ça. Et quelle est la solution ? Eh bien, c'est de passer à d'autres algorithmes
11:27 avec tout un processus, évidemment, d'évaluation, d'implémentation, de normalisation, etc.
11:35 Bon, alors, on voit même maintenant des applications qui vous permettent de savoir
11:45 en combien de temps votre algorithme qui emprunte les deux tels longueurs risque d'être cassé.
11:53 Il y a une autre annonce aussi où, comme vous voyez, c'est précipité. Ça, c'était hier.
11:59 C'est qu'au MIT, on a investi chez Cargo, mais c'est vrai aussi au MIT en partie,
12:07 et à Stanford, on a réussi à stabiliser dans un contexte donné, mille fois mieux
12:15 les qubits que ce qu'on faisait avant. Donc, vous voyez, ça, c'est des grandes avances.
12:19 Alors, qubit, c'est évidemment l'équivalent du bit en ordinateur quantique. Et puisqu'on
12:30 a parlé aussi de blockchain, il va falloir imaginer les blockchains dans le contexte post-quantique.
12:40 Et vous voyez que, bon, c'était le mois passé, ça. Bon, alors, il y a quelques jours,
12:49 il y avait une conférence en Grande-Bretagne où on disait qu'il fallait absolument accélérer
12:55 le processus des standards cryptographiques, de review, etc. Et on va voir pourquoi un peu tout de suite.
13:03 Bon, alors je vais... Alors oui, autre chose, l'école polytechnique a une revue qui s'appelle Pi,
13:13 et le numéro actuel, tout récent donc, c'est sur le quantique, une deuxième révolution en ébullition.
13:21 Et il parle un peu de tout ça. Et il y a un très bel article d'Alain Aspley dedans.
13:28 Bon, alors la cryptographie et les ordinateurs quantiques, c'est aussi lié à l'intelligence artificielle
13:35 et donc tout va dans tout pour l'instant. Le Green Ball, donc une petite société française, pardon,
13:46 a écrit un petit article à ce sujet-là, tout récent. Donc vous voyez que tout le monde est bien intéressé.
13:53 Le Clusif fait des échanges là-dessus. Et vous voyez donc que toute la France est en ébullition là-dessus en ce moment.
14:09 L'ETSI qui se trouve dans la société antipolice a tout un programme aussi pour savoir
14:16 ce qui va se passer dans le futur avec les algorithmes qu'on utilise actuellement.
14:21 Donc ça c'était il y a quelques mois. Et l'Institut Poincaré, donc à Paris, va faire une grande conférence
14:33 dans plus d'un an. Donc ce sera du 2 au 6 décembre l'année prochaine.
14:39 Vous voyez donc qu'il y a vraiment la Banque de France. Il y a aussi, donc tout le monde en parle,
14:45 de la cybersécurité liée au chiffrement et aux postes quantiques.
14:52 La conférence RSA a parlé aussi de l'immigration et vous voyez le S2 RSA, Jamil, qui participe.
15:01 Alors, une question aussi qu'on se pose évidemment, que se passe-t-il du côté de la NSA par exemple ?
15:10 Et là, est-ce qu'ils vont avoir des ordinateurs quantiques ? Est-ce qu'ils en ont déjà ?
15:14 Et surtout, ça c'est un de leurs grands métiers, est-ce qu'ils ne vont pas se mêler dans le process
15:20 et essayer de diminuer l'impact des changements d'algorithmes ?
15:27 Il y a des indices et il y a eu une lettre de scientifiques là-dessus.
15:33 Le NOTAN aussi s'y intéresse beaucoup.
15:37 Alors, le problème principal c'est évaluer le risque d'arriver les ordinateurs quantiques
15:43 avec tous les paramètres et les contre-mesures. Si ça arrive, c'est les algorithmes post-quantiques.
15:51 Post-quantique, ça veut dire le jour où l'ordinateur quantique sera assez puissant et qu'il faudra faire autre chose.
15:57 Bon, c'est pas rien, il va falloir faire un appel, des évaluations, standardisation, des tests et implémentations.
16:05 Imaginez des systèmes hybrides, on ne va pas tout brutalement changer d'un coup.
16:10 Et donc aussi les migrations, etc. Implémentations en hardware et software.
16:19 Bon, alors, rapidement, j'ai pas énormément de temps, je vais essayer de bien situer,
16:26 parce qu'il y a des problèmes de vocabulaire et aussi d'éléments.
16:31 Donc, il y a l'ensemble du marché quantique, si on peut appeler ça comme ça,
16:38 qui comporte en fait trois domaines principaux.
16:41 Le calcul quantique, les communications quantiques, et les senseurs et la métrologie.
16:48 Dont on parle peut-être moins, mais qui sont importants.
16:52 Ça permet effectivement, si le jour, enfin ça existe déjà pour les senseurs et la métrologie,
16:58 ça permettra d'avoir des meilleurs encore horloges dites atomiques.
17:03 Et ça permettra aussi de faire des lidars qui iront voir les tunnels bien profondément.
17:10 Vous voyez un peu à quoi je fais allusion.
17:13 Et, bon, donc je reviens aux ordinateurs quantiques.
17:19 Il y a toujours de très belles photos pour ça, avec plein de fils, etc.
17:23 Et les ordinateurs quantiques, il y a plusieurs méthodes.
17:28 Donc il faut d'abord des simulateurs, simulateurs.
17:32 Il y a des ordinateurs quantiques qui permettent de faire du mélange
17:38 et de faire des meilleures optimisations par la ligne.
17:45 On peut aussi faire du calcul malgré qu'il y a du bruit.
17:50 Et puis le Graal, c'est les ordinateurs quantiques universels.
17:55 Et c'est ça la grande crainte évidemment par rapport aux algorithmes cryptographiques.
18:01 Qu'est-ce qui se passe quand les ordinateurs quantiques apparaîtront,
18:05 s'ils apparaissent un jour ?
18:08 Alors pour les communications, là aussi, il y a du quantique effectivement.
18:12 Mais c'est un autre quantique.
18:14 Ça peut servir pour la distribution de clés, pour la synchronisation des horloges,
18:18 pour engendrer les nombres aléatoires et pour faire des réseaux.
18:23 Et malheureusement, rien de plus, ce qui veut dire qu'on n'a pas toute la cryptographie.
18:29 On ne sait pas faire du chiffrement, par exemple, etc.
18:33 Alors l'OTAN s'intéresse beaucoup aux communications.
18:40 Les générateurs de quantum, on en publie tout le temps.
18:47 Il faut voir s'ils sont tous bons, quantiques.
18:51 Et alors donc pour le senseur quantique,
18:59 c'est vraiment pour avoir une meilleure précision.
19:05 Et aussi on peut imaginer des systèmes d'imagerie qui sont encore bien meilleurs.
19:10 Bon, ça j'ai déjà montré.
19:14 Alors je vais passer à des cours d'histoire de la cryptographie.
19:17 Vous connaissez, les ordinateurs, on connaît les limites.
19:23 Une clé secrète à 128 bits, c'est très bon.
19:27 Pour utiliser un algorithme de chiffrement valable,
19:31 comme la OS par exemple, 128 bits, etc.
19:35 Bon, alors générateur quantique, ça vient d'une idée de Richard Fentman en 82.
19:41 Notamment par l'utilisation des effets quantiques,
19:46 si on peut prendre une vision des états.
19:48 C'est une espèce, au fond, de calcul parallèle immense,
19:52 intégré en une seule pièce.
19:56 Bon, alors, une petite question qu'il faut bien comprendre,
20:02 c'est que quand on parle de qubits, en général donc de bits utilisés,
20:07 binaires, mais qui peuvent avoir les deux valeurs en même temps,
20:10 tant qu'on ne les a pas mesurées,
20:12 il faut bien voir qu'on parle de physique ou de logique.
20:17 Alors, les physiques, c'est ceux que vous voyez,
20:20 les logiques, c'est ceux qui calculent réellement.
20:23 Et quand vous voyez les différentes couches entre l'algorithme et le processeur physique,
20:30 et bien, il y en a beaucoup.
20:33 Bon, d'abord, il faut un réseau, un tri,
20:39 il faut aussi la correction d'erreurs,
20:43 il faut encoder les états logiques,
20:46 il faut, à ce moment-là, vous avez un processeur logique quantique virtuel,
20:52 et puis vous avez des algorithmes au-dessus de ça.
20:55 Alors, entre le dessus, qui utilise le concept de qubit logique,
21:03 le dessous utilise physique,
21:06 et entre les deux, il y a entre 10, 100 et 1000 fois plus de qubits physiques que logiques.
21:16 Et la plupart du temps, dans la littérature, comme ça c'est le plus grand nombre,
21:23 on a tendance à parler de physique et pas de logique, évidemment.
21:27 Bon, je viens de dire quantique, il y a beaucoup de projets dans le monde,
21:33 il y a beaucoup d'annonces, beaucoup de démos, tout ce que vous voulez.
21:36 Alors, vous voyez ici la roadmap des plans d'attaque de sujets par IBM,
21:47 et effectivement, pour 2023, ils annoncent à Condor,
21:53 donc il y a surtout des bêtes, et même des oiseaux,
21:58 et donc qu'il y a un peu plus de 1000 qubits,
22:03 et c'est ce que je vais montrer qu'ils annoncent.
22:05 On est à la fin de l'année, mais ils y sont.
22:08 L'année prochaine, il y aura un peu plus,
22:11 et ils espèrent arriver en 2026 entre 10K et 100K,
22:17 donc ils disent à 100 fois plus, on verra bien.
22:21 Ça c'est l'état des lieux à peu près, et tout le monde est à peu près dans ces eaux-là.
22:28 Vous voyez encore un autre graphique ici.
22:34 Il y a plein d'annonces, etc.,
22:39 mais beaucoup d'ordinateurs quantiques aujourd'hui, de démonstration,
22:44 tournent autour de 100 qubits, ce qui n'est quand même pas encore énorme.
22:52 Enfin bon, c'est plutôt des expériences.
22:58 Vous voyez ici tous les vendeurs avec leurs dates et les technologies.
23:06 Il y a au moins cinq technologies différentes,
23:10 et chacun a ses avantages et ses défauts,
23:17 mais les nombres sont assez similaires.
23:22 Bon, alors la cryptographie quantique,
23:25 je ne dis pas post-quantique mais quantique,
23:28 c'est l'utilisation de la mécanique quantique, donc c'est la physique.
23:31 Ça permet, comme je l'ai dit, de faire la distribution des clés
23:34 par un protocole qui existe depuis bientôt 40 ans, par exemple,
23:38 la manette brassard, ça permet de faire la génération d'honneurs radiatoires,
23:42 mais rien de plus, et là où est le problème,
23:45 c'est qu'il n'y a pas d'authentification, pas d'identification,
23:48 et donc d'office, on a besoin de systèmes hybrides.
23:52 Et ça, c'est pour la cryptographie quantique.
23:55 La cryptanalyse quantique, c'est elle qui utilise les ordinateurs quantiques.
24:01 Alors, il y a deux algorithmes principaux, l'algorithme de Shor,
24:05 c'est la factorisation des entiers, et c'est en temps et ressources polynomials.
24:11 Donc ça, ça peut être catastrophique, évidemment,
24:14 mais bon, d'abord, ça n'existe pas encore vraiment en grande échelle,
24:20 et ça consomme quand même du courant.
24:24 Grover, lui, c'est un algorithme d'énumération,
24:29 et donc il attaque les fonctions d'achat cryptographique et le chiffrement classique.
24:35 Alors, bon, les choses accélèrent,
24:41 donc on a annoncé récemment un meilleur algorithme pour factoriser,
24:48 donc ça date de septembre, c'est Odette Regev,
24:54 mais symboliser le papier et même l'abstract,
24:59 et il se termine par "il n'est couramment pas clair si l'algorithme publié ici
25:05 peut conduire à améliorer les implémentations en pratique".
25:11 Donc ce n'est pas parce que l'algorithme est meilleur qu'il s'implémente mieux.
25:15 C'est quelque chose d'assez nouveau par rapport aux ordinateurs classiques.
25:20 Bon, alors maintenant, si vous voulez employer des ordinateurs quantiques,
25:24 il y en a tout plein, voilà la page IBM,
25:28 où ils montrent ce que vous pouvez avoir accès,
25:32 donc ça va jusque 133 qubits,
25:36 et au moment où j'ai pris ceci, ils étaient tous online.
25:40 Oui, c'est quand même pas mal.
25:43 Alors il y a plein de plateformes, voilà la liste qui n'est pas complète,
25:48 mais qui est quand même très intéressante.
25:52 Donc vous pouvez faire des essais, des démos,
25:56 mais ce n'est pas avec ça que vous allez casser le RSA, bien sûr.
26:01 Alors, maintenant on va devoir faire la nouvelle cryptographie,
26:07 et comment ?
26:10 Alors le résultat, c'est de nouveaux algorithmes
26:13 qui ne sont pas basés nécessairement sur l'arithmétique.
26:17 Ils sont souvent moins élégants, dans le sens que le RSA, par exemple,
26:22 permet de faire beaucoup de choses, EFY, Hellman ou les corvelliptiques,
26:26 ça permet de signer, de distribuer les clés, etc.
26:31 Ici, à une exception près, c'est beaucoup plus dispersé.
26:38 Et surtout c'est basé sur des mathématiques et de l'informatique théorique
26:43 qui est beaucoup moins connue, moins étudiée,
26:45 et ça va donner sans doute des surprises.
26:49 Alors, je l'ai dit, mais maintenant vous voyez ça de façon plus imagée,
26:55 donc vous voyez Shor ici, devant un tableau,
27:00 et donc ça ne résiste pas à l'algorithme qu'il a mis au point,
27:04 ou le RSA, les corvelliptiques d'EFY, Hellman.
27:07 Par contre, Grover, lui, c'est moins catastrophique.
27:13 Donc, la OS 256, par exemple, résiste, dans le cas général,
27:20 pas la OS 128, et les fonctions de hachage aussi, mais pas 256.
27:30 Alors, bon, ce ne sont pas des algorithmes récents,
27:33 vous voyez qu'ils ont plus de 25 ans,
27:37 et ce n'est que récemment que Shor a été amélioré,
27:41 et Grover pose des problèmes d'implémentation.
27:45 Il faut aussi savoir quelque chose, c'est que ces deux algorithmes,
27:50 on peut les mettre sur des ordinateurs quantiques,
27:53 mais il faut du pré-calcul sur les ordinateurs classiques,
27:57 et du post-calcul sur les ordinateurs classiques aussi,
28:01 et on n'en tient pas toujours compte.
28:04 Bon, donc, voilà en résumé, les ordinateurs quantiques s'arrivent,
28:11 et tout le système a clé publique cassée,
28:15 et on a besoin d'avoir des clés AES ou des fonctions de hachage plus longues.
28:24 Alors, la bonne nouvelle, on doit seulement doubler,
28:28 donc on passe de 128 à 256, et ça c'est pour le chiffrement,
28:34 et 256 dit un petit peu plus, 384 ou plus, pour les fonctions de hachage.
28:42 Et alors, qu'est-ce qui s'est passé, soudain, en plein été 2015 ?
28:49 Ça se passe toujours en été en cryptographie,
28:52 et bien, il y a une annonce de l'ANSA en disant,
29:00 vous savez, les algorithmes que vous utilisez aujourd'hui,
29:04 on va les appeler des algorithmes de transition,
29:09 avant de passer au post-quantique,
29:11 et il y a un certain nombre d'algorithmes, désolé pour vous,
29:16 qui sont obsolètes, au 2015.
29:20 C'est bientôt 10 ans, soyons clairs.
29:27 Alors, résultat des courses,
29:32 les algorithmes utilisés par Bitcoin sont obsolètes depuis 2015,
29:36 d'après l'ANSA, et repris par le NIST.
29:41 Bitcoin empochera 256, il va falloir passer à au moins 384,
29:48 il emploie les courbes elliptiques, c'est ça.
29:51 Pour la preuve de possession, ça ne va pas.
29:54 Et pour convertir la clé publique vers une adresse,
29:58 il emploie RIP-MD avec 160 bits, encore plus catastrophique.
30:04 La migration sera très difficile pour Bitcoin, je vous assure.
30:10 Alors, l'archivage, c'est aussi une catastrophe,
30:14 parce que, évidemment, les gens archivent aujourd'hui,
30:18 et peut-être bien qu'on pourra casser cela demain.
30:22 Donc il va falloir faire une analyse de risque,
30:24 et dans le domaine médical notamment,
30:26 où on a des besoins de 30 à 60 ans au moins de sécurité,
30:31 il n'y a jamais personne qui a fait 60 ans de sécurité en cryptographie aujourd'hui,
30:36 on aura beaucoup de problèmes.
30:42 Alors, il y a plein d'organisations gouvernementales ou non qui parlent de migration.
30:49 Vous voyez, l'Annecy par exemple, en avril 2022,
30:53 ils avaient déjà donné un avis sur ce qu'il fallait faire, etc.
30:58 Les Anglais aussi.
31:00 L'ISO s'y met, l'IATF s'y met.
31:06 Vous aurez les transparents, donc je vais très vite là-dessus.
31:10 Google l'utilise déjà en interne.
31:14 Peut-être pas pour tout en interne, mais enfin, ils l'utilisent,
31:17 donc ils se font la main.
31:21 NXP, un des producteurs principaux de puces,
31:27 ils réfléchissent, ils ont déjà, comment même,
31:32 imaginé des attaques par canot caché, etc.
31:40 Et IBM dit, bon, ben voilà, on estime qu'il y aura 20 milliards d'engins
31:49 qu'il va falloir upgrader ou remplacer dans les 10 ou 20 ans prochains.
31:55 Donc, on devrait commencer maintenant à réfléchir.
32:01 L'organisme qui s'occupe de la norme GSM,
32:05 ben lui, il y pense aussi depuis à peu près un an.
32:09 Même le Luxembourg y pense.
32:16 Et au début de l'année, j'ai fait un exposé dont vous voyez aujourd'hui la mise à jour.
32:24 Et donc, ils ont un laboratoire qui comporte quand même un certain nombre de personnes et de sujets.
32:31 Alors, le deuxième appel du NIST et NSA, toujours en mois d'août 2016, un an après,
32:38 eh ben voilà, on va devoir avoir des nouveaux algorithmes,
32:42 et vous allez les proposer gratuitement, et la communauté va les évaluer.
32:49 Et pour ça, vous avez un peu plus d'un an.
32:53 Bien, donc, qu'est-ce qui se passe ?
33:00 C'est qu'effectivement, la NSA imagine une suite commerciale,
33:06 donc c'est NSA 2.0, donc c'est quels sont les algorithmes qu'on peut utiliser.
33:15 Et si ça ne convient pas, on en passe une transition, et puis on va passer au nouveau.
33:27 Alors bon, voilà, donc, comme je l'ai dit, ils conseillent maintenant de passer à l'AES à 256 bits,
33:38 le SHA à 384 ou plus, et puis finalement, ils annoncent les algorithmes,
33:47 donc ceux qui avaient été proposés après l'appel.
33:50 Et bon, il y en a deux là-dedans qui s'appellent Crystal,
33:56 et puis il y en a d'autres pour le firmware et le soft date.
34:02 Alors, ce qui est intéressant surtout, c'est de voir leur ligne du temps.
34:08 Elle commence donc bien en 2022, nous sommes vers la fin de 2023,
34:14 et ce que vous voyez, c'est que pour presque tous les sujets,
34:19 les algorithmes nouveaux, post-quantique, devraient être ajoutés avec une option,
34:25 et commencer à être testés.
34:28 Alors, ça concerne tout, donc ce qui est le plus urgent, c'est la signature de software et de firmware,
34:35 et puis après, ce sera les navigateurs web et serveurs, et le cloud,
34:41 puis le reste plus classique.
34:45 Ce que vous voyez, c'est que pour la signature de software et de firmware,
34:52 en 2025, d'après eux, ça doit être les nouveaux algorithmes qui doivent être comme défauts et préférés.
35:01 Et en 2030, exclusivement, et vous voyez donc tous les graphiques,
35:09 beaucoup de vos équipements, d'après eux,
35:15 ça commencerait à être absolument pas les nouveaux algorithmes comme option favorite en 2026.
35:26 Vous allez me dire, oui, mais ça c'est pour les Américains.
35:29 Non, le problème qu'il y a, c'est que tous les algorithmes sont en train d'être standardisés au niveau du NIST,
35:35 et puis ils vont être pris par l'UTF, par l'ISO, etc.
35:38 Donc, vous ne savez pas y échapper, tout au plus décalé, et puis il y a un autre problème.
35:44 D'abord, le problème avec les standards, c'est que les standards,
35:49 la plupart actuels, ne sont pas compatibles avec ces nouveaux algorithmes.
35:53 Donc, il va falloir faire des nouveaux algorithmes flexibles, les tester, les implémenter,
35:59 voir s'il y a plusieurs implémentations, etc.
36:04 Et donc, en juillet, cette fois-ci, c'est pas au moins 2, mais ça, en juillet 2022,
36:12 le premier processus de standardisation, 4 candidats sont standardisés,
36:19 comme candidats-sandards, l'écriture de standards prend du temps,
36:23 et puis il y a 4 autres candidats.
36:27 Bien, alors, il y a 4 candidats pour, enfin non, pardon, 1 candidat en haut, au milieu,
36:40 pour le chiffrement et pour l'établissement de clés, donc retenez bien ce nom, c'est Cristal Kiber.
36:48 Oulà, Signatio Digital, là ça va, il y en a 3, Cristal Dilithium, Falcon et Sphinx.
36:59 Alors, la plupart de ces algorithmes sont basés sur la sécurité des tris,
37:06 quelque chose que vous n'avez sans doute pas encore étudié et qu'il va falloir,
37:09 et donc Sphinx a été ajouté pour avoir un algorithme qui n'est pas basé là-dessus.
37:17 Donc ils craignent quand même, et ils ont besoin donc de rechange.
37:21 Alors il y a des réserves, bon, il y a un site qui décrit tout ça très bien,
37:29 de façon à l'imager, voilà, les 3.
37:36 Bon, alors maintenant, ça a mal tourné, ça n'était pas prévu, moi.
37:41 Moi j'avais dit que ça arriverait, et bien ça arrivait plus vite que prévu.
37:45 C'est que des algorithmes qui n'ont pas été standardisés,
37:50 mais qui étaient prévus pour être standardisés, ont été cassés une semaine avant.
37:55 Alors cassé, c'est dans le sens strict du terme, ça veut dire qu'avec un ordinateur simple,
38:00 en un week-end, vous retrouvez la clé secrète.
38:03 Et dans l'autre cas, c'est même pire que ça.
38:07 Donc vous voyez, la raison est qu'il y a très peu de mathématiciens qui ont regardé ça,
38:13 et que le domaine dans lequel on navigue n'est pas connu complètement
38:19 par ceux qui essayent de le mettre en œuvre.
38:23 Les Chinois, eux, ils font la même chose, donc en parallèle,
38:30 donc ils ont leur propre appel.
38:33 Bon, j'ai pas trouvé beaucoup de choses traduites, mais j'ai quand même trouvé...
38:39 Et donc, eux vont déjà aussi standardiser leurs propres algorithmes,
38:47 et vont le proposer aussi à l'ISO et à l'UTF, donc ce sera assez intéressant.
38:53 Donc l'appel des Chinois, ou même la normalisation, est assez récente.
39:00 Là où ça commence à tourner autrement, c'est l'appel du président des États-Unis,
39:07 où il a fait un même rando pour que les États-Unis prennent le "readership"
39:13 en calcul quantique, en tenant compte de tout,
39:16 donc aussi les ordinateurs quantiques pour casser les clés,
39:18 et donc pour avoir des algorithmes post-quantiques tenant compte des ordinateurs.
39:25 Ah oui, excusez-moi, le transparent n'est pas dans la bonne place.
39:30 Donc ça c'est pour les Chinois, et donc ils avaient un grand nombre de présentations,
39:40 il y en avait 36 applications, et ils n'en ont retenu pas quatre.
39:47 Donc on a déjà une concurrence qui ne va pas simplifier les choses.
39:50 Alors le mode d'emploi de l'appel, je reviens aux États-Unis,
39:54 le mode d'emploi de l'appel du président, qui date d'un an,
40:03 est de dire qu'il va falloir faire une évaluation,
40:08 et que plein de choses vont être obligatoires, en tout cas pour tout ce qui concerne
40:12 le gouvernement américain et son administration.
40:15 Et on prend un exemple, ils avaient donné comme déclin,
40:19 je ne sais pas si ça a été respecté, mai 2023,
40:22 pour faire la liste de tous les systèmes qui étaient vulnérables aux ordinateurs quantiques.
40:28 Vous imaginez ?
40:31 Alors ils ont lancé aussi une initiative nationale quantique, comme dans d'autres pays.
40:38 Ce qui est intéressant à voir, c'est que le dernier rapport date du 1er décembre de cette année-ci,
40:43 donc c'était il y a 4 jours, et qu'il y a le programme de l'ANSA dedans,
40:51 vous le voyez pour l'instant, il y a pas mal de choses.
40:56 Alors ce qui est intéressant de voir, c'est que la plupart des financements
41:00 internes ou externes de l'ANSA concernent la fabrication et l'utilisation de qubits robustes.
41:10 Donc ce mot-là est utilisé dans pratiquement tous les projets.
41:17 Donc ils sont prudents, ils partent par la base,
41:22 mais on ne sait pas tout à leur sujet, ils ont peut-être d'autres programmes internes bien sûr.
41:27 Avec mon ami Charles Cuvelier, on avait déjà dit tout ceci dans Le Monde il y a un an,
41:39 les projets industriels devraient déjà intégrer la cryptographie quantique,
41:45 d'autres le font en IOT.
41:53 Alors que faire, quand ? Maintenant.
41:58 Et bien voir qu'il y a une lutte aussi, donc la France a fait son premier message diplomatique
42:06 en cryptographie post-quantique il y a juste un an.
42:12 Le Congrès a dit qu'il fallait être prêt, et donc ils ont un avis très fort
42:22 qui date d'un peu plus d'un an, on le voyait bien écrit.
42:32 Mais la loi US stipule que c'est essentiel, qu'il faudra migrer très vite,
42:41 et que les nouveaux logiciels et matériels devront facilement mettre à jour
42:48 pour supporter l'agilité cryptographique.
42:52 Mais le point important c'est que ça devient obligatoire à partir de cette époque
43:02 où tout le matériel vendu au gouvernement américain, donc les militaires, l'administration et tout,
43:08 donc les fabricants et les exploitateurs européens vont devoir s'y mettre s'ils veulent continuer à vendre,
43:16 et évidemment ça va se propager à tous.
43:22 Alors il faut bien voir que ceci se place aussi dans la lutte entre la Chine et les États-Unis,
43:29 vous avez bien vu au point de vue standard, il n'y a que eux qui font ça,
43:33 mais ça se passe aussi sur le fait que vraisemblablement les États-Unis craignent
43:39 que les Chinois trouvent une fabrique de délecteurs quantiques à vendre,
43:46 et donc ils doivent prendre des contre-mesures.
43:49 C'est plus compliqué que ça, mais en fait en gros c'est ça.
43:53 Donc en conclusion, il y a urgence pour les données sensibles émises hier et aujourd'hui,
44:01 en craignant que les clés du chiffrement ne se cassent pas demain,
44:06 il y a une veille importante pour toutes et tous qui sont concernés par la cryptographie,
44:13 je crois aussi que l'industrie européenne a besoin de se réveiller et doit relever ses défis.
44:19 Bon, je crois que les grosses sociétés commencent à comprendre,
44:23 là je pense plutôt aux sociétés moyennes ou intermédiaires,
44:28 où là je vois encore beaucoup de projets qui travaillent avec des algorithmes classiques,
44:37 j'allais dire, ça ça va, mais qui n'ont pas prévu du tout l'agilité,
44:43 et bien comprendre aussi et suivre que la Chine développe ses propres standards.
44:49 Alors, j'ai un petit peu de scriptum très rapide sur la factorisation,
44:56 parce qu'on m'a posé la question, je connais au moins 10 personnes au groupe qui proclament qu'ils ont cassé le RSA.
45:03 Il y a deux groupes chinois, il y a Francesco Sica, il y a Schnorr, Desmet et encore d'autres.
45:10 Alors il y a, comme j'ai parlé, il y a celui-là, il faudra encore voir comment il va s'améliorer,
45:17 mais alors le dernier, c'est Ed Gehrke, qui a deux doctorats, qui a dit qu'il avait tout cassé,
45:26 et il a même publié un papier, voilà, il peut casser des très grands nombres avec un smartphone,
45:42 il n'y a pas grand monde qui croit, et le problème qu'il y a, c'est que ce n'est pas qu'un fumiste, il a aussi des bons résultats,
45:51 et donc ceci risque peut-être d'accélérer le processus, et c'est peut-être finalement une grande manipulation.
46:04 Voilà, donc il a annoncé ça, comme d'habitude, au mois d'août, mais il n'a pas tout dit.
46:14 Alors il dit aussi qu'on a caché beaucoup de choses depuis Pythagore,
46:19 enfin il y a un mélange de vocabulaire correct et de fumistorie.
46:26 Voilà, merci beaucoup.
46:28 Merci Jean-Jacques, merci d'avoir réussi à être avec nous.
46:39 Je ne sais pas s'il y a des questions dans la salle, s'il voudrait poser une question à Jean-Jacques.
46:46 Bonjour Jean-Jacques, c'est Herbert, je te remercie pour ton exposé.
46:59 J'ai une question extrêmement courte concernant la factorisation du RSA.
47:03 Avec un PC, je suis capable de générer des noms pseudo-premiers, avec un test de Miller-Rabin,
47:11 qui font 1000 chiffres, voire plus. Donc pourquoi est-ce qu'on ne pourrait pas générer des nombres N
47:19 qui font 2000, 3000 ou 4000 bits, donc des vrais nombres N,
47:23 et on demande à nos dix concurrents, à nos dix last cards, de factoriser ça et voir ce qu'il se passe.
47:32 Le test, on peut le faire nous-mêmes.
47:34 Oui, mais bien sûr. Et d'ailleurs ça existe.
47:37 La société RSA, il y a quelques années, avait publié des nombres pareils, qui servent de référence.
47:44 Alors moi, je possède aussi une liste de nombres, comme tu dis, qui a été générée.
47:49 Elle n'est pas publique, mais elle a été distribuée par Andrew Weiss. Donc ça se fait.
47:54 Le problème qu'il y a, c'est que tous ces gens, et j'ai bien dit tous, ils veulent choisir leurs propres armes.
48:03 Donc c'est très curieux. Et donc il n'y a jamais personne qui a fait ce que tu as dit, effectivement.
48:09 Alors d'autre part, il faut quand même bien voir qu'aujourd'hui, les nombres RSA qui sont supposés être utilisés sont de 3000 bits.
48:26 On a encore le temps de voir venir avant que ce soit cassé, de toute façon.
48:32 Mais le problème qu'il y a aussi, c'est qu'il y a encore des gens qui utilisent 512 bits.
48:39 2024, c'est presque le standard, et encore pas toujours bien généré.
48:44 Donc il y a plein de problèmes qui ne sont quand même pas post-quantique, qui devraient d'abord être résolus.
48:50 Et qui s'ils ne sont pas résolus, on peut être quand même assez perplexe sur tout ce qui va se passer,
48:58 de mélange et tout, parce qu'effectivement, on va devoir passer d'un système à l'autre, avec des transitoires, évidemment.
49:09 Et là, on n'a pas une grande expertise sur comment faire ça convenablement.
49:16 Il faut bien voir que la première révolution cryptographique, c'est celle qu'on vit encore aujourd'hui.
49:25 Donc c'est l'apparition du DESP, puis de la US et les fonctions de HH et le RSA, courbe elliptique, etc.
49:33 Mais tous ces algorithmes, en gros, avaient à peu près la même vitesse.
49:39 Pas tout à fait, mais quand même, à peu près la même longueur de clé et à peu près la même surface de code.
49:48 Ici, on arrive à une beaucoup plus grande dispersion.
49:53 — Très bien. Jean-Jacques, merci infiniment. Nous sommes obligés d'interrompre cette communication,
50:00 parce qu'on me dit que l'intendance s'inquiète. Mais je te remercie de ne pas nous avoir noué l'estomac avant de passer à table.
50:15 On peut rester présonnablement optimistes.
50:18 (Applaudissements)

Recommandations