dimanche 21 juin 2009

Le secret était presque parfait : la cryptographie quantique n’est pas invulnérable

.
Considérée comme le “Saint Graal” de la sécurité informatique, à même de révolutionner la manière dont on peu, ou pas, garantir le secret des télécommunications, la cryptographie quantique est à double facette. Du côté de la cryptanalyse (l’art de casser les codes secrets), elle devrait permettre de casser les systèmes de chiffrement utilisés aujourd’hui, et réputés inviolables. Pour ce qui est de la cryptographie (l’art de chiffrer les messages), elle devrait permettre à deux interlocuteurs de communiquer en toute sécurité, mais aussi de pouvoir démasquer toute tentative d’espionnage.

Expérimentée depuis des années dans des laboratoires de R&D, et commercialisée depuis peu, le New Scientist rapporte que des chercheurs ont démontré que la cryptographie quantique n’était pas exempte de vulnérabilités, pire, qu’on pouvait la casser.

En informatique quantique, il suffit en effet de consulter une donnée pour que celle-ci s’en trouve modifiée, ce qui permet de savoir si un message a, ou non, été espionné.

Or, l’an passé, Vadim Makarov, du Quantum Hacking group de l’université des sciences et technologies de Norvège, a démontré qu’il était possible d’intercepter, sans laisser de traces, les messages échangés par deux des trois systèmes quantiques généralement utilisés.

Plutôt que d’espionner le canal de communication -ce qui aurait laissé des traces-, Makarov et deux autres chercheurs se sont attaqués à la machine même, qu’ils sont parvenus à “aveugler” (si l’on peut dire) au moyen de flashs laser.

Hoi-Kwong Lo, professeur d’informatique quantique à l’université de Toronto, a lui aussi identifié des imperfections dans le système (presque) parfait commercialisé par ID Quantique, le leader mondial de la cryptographie quantique qui avait été fortement médiatisé lorsqu’il avait, l’an passé, été utilisé pour sécuriser une expérimentation de vote électronique en Suisse.

Hoi-Kwong Lo est en effet parvenu à exploiter des failles dans le procédé de sorte de pouvoir espionner 4% environ des communications “sécurisées“.

La faille a depuis été corrigée, mais selon Vadim Makarov, l’émergence des ordinateurs quantiques augmentera la charge de travail des professionnels de la sécurité informatique : “Hackers et chercheurs ont le devoir de scruter autant que possible les implémentations commerciales de la cryptographie quantique. Toute implémentation d’un dispositif de sécurité, classique ou quantique, peut contenir une faille non-identifiée”.

Le propos tient du bon sens, encore fallait-il le rappeler, et le démontrer. Or, jusqu’à présent, la crypto quantique nous était présentée comme un horizon de sécurité indépassable. Certes, l’informatique quantique représente un réel changement de paradigme. Mais tant que ce seront des êtres humains qui concevront les dispositifs, fabriqueront les machines et les utiliseront, il y aura toujours des erreurs d’implémentation, ou d’utilisation.

C’est bien connu : l’erreur est humaine, et d’un point de vue informatique, souvent située entre la chaise et le clavier. La ritournelle bien connue de l’escalade sécuritaire n’est pas prête de s’arrêter, comme le résume Hoi-Kwong Lo : “nous aurons tout autant besoin de hackers quantiques que de cryptographes quantiques“.

Jean-Marc Manach

Article paru dans l'édition du journal Le Monde du 19.06.09.
.

Aucun commentaire: