Alors que la menace des futurs ordinateurs quantiques capables de casser les schémas cryptographiques actuels reste aujourd’hui hypothétique, Thales et le CEA ont réalisé une première évaluation conjointe de deux algorithmes – HAWK et FAEST – face à des attaques par canaux auxiliaires. Cette opération vise à anticiper les futures exigences de certification à l’échelle européenne.
Les Centres d’évaluation de la sécurité des technologies de l’information (CESTI) de Thales et du Commissariat à l’énergie atomique et aux énergies alternatives (CEA) ont uni leurs forces pour analyser la robustesse d’algorithmes de cryptographie post-quantique (PQC).
Une menace hypothétique mais majeure
Le projet, baptisé “Giverny”, intervient dans un contexte où – même si la menace quantique demeure théorique à ce stade – les Etats et les industriels commencent à se préparer à ses conséquences potentielles.
En quelques mots, les ordinateurs quantiques existants ne sont pas encore capables de casser les algorithmes cryptographiques utilisés aujourd’hui. Toutefois, la communauté scientifique estime qu’un saut technologique majeur pourrait, à terme, rendre ces schémas vulnérables. Ce qui exposait toutes les données protégées jusqu’ici.
2027 pour les produits sensibles
L’hypothèse est suffisamment sérieuse pour que les agences de cybersécurité anticipent dès maintenant une transition vers de nouveaux standards résistants. De son côté, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a fixé à 2027 l’obligation de basculer vers la PQC pour les produits sensibles candidats à une qualification et à 2030 pour tous les nouveaux produits mis sur le marché.
Le CESTI du CEA a été le premier laboratoire français agréé par l’organisme français pour évaluer les produits intégrant de la PQC dans le cadre du schéma européen EUCC (European Common Criteria-based cybersecurity certification scheme). Le CESTI de Thales, déjà engagé dans la démarche, devrait prochainement le rejoindre.
Des attaques par canaux auxiliaires
Dans le cadre de Giverny, les partenaires se sont intéressés à deux algorithmes : HAWK, proche du standard FN-DSA porté par le National Institute of Standards and Technology (NIST) ; et FAEST, proche des mécanismes de chiffrement inspirés d’Advanced Encryption Standard (une norme de chiffrement symétrique).
L’objectif était le suivant : simuler des conditions proches des futurs terminaux embarquant de la cryptographie post-quantique, dans le cadre d’attaques par canaux auxiliaires (side channel attacks). Elles consistent à espionner de minuscules indices physiques (temps d’exécution, émissions électromagnétiques, consommation électrique..) pour déduire une clé secrète sans jamais casser directement l’algorithme.
Les travaux ont révélé plusieurs vulnérabilités, pas encore publiées, ainsi que l’efficacité des contremesures.
Préparer les futures certifications européennes
En réalisant cette première évaluation, les deux centres participent à la construction des futurs mécanismes de certification européens. Une avancée stratégique alors que l’UE se prépare à l’arrivée de l’EUCC, de l’EU5G et du futur EUCS, qui intégreront progressivement des exigences en matière de cryptographie de nouvelle génération.
La cryptographie post-quantique devient aussi un sujet de marché économique. Les futures exigences européennes vont créer une demande pour des solutions. Pour les industriels français, l’enjeu est de ne pas rater le virage. Un retard profiterait aux acteurs étrangers, en premier lieu les américains dont la force de frappe en matière d’investissements n’est plus à démontrer.
