00:00Bonjour, Michel Brochard, Orange Wallsail.
00:03Alors d'abord, un mot sur Orange Wallsail,
00:07qui est un fournisseur de services de connectivité,
00:11de services d'infrastructure pour les opérateurs réseau
00:14et les opérateurs de data center.
00:18Alors la menace quantique, elle a déjà été évoquée au FRNOC,
00:21donc je vais revenir très rapidement dessus.
00:24C'est simplement le problème que pourront poser dans le futur
00:29ces ordinateurs, c'est qu'ils pourraient casser très facilement
00:33les problèmes mathématiques sur lesquels se base la cryptographie actuelle.
00:38Donc vous voyez dans la courbe de gauche,
00:40la zone grise, c'est la capacité actuelle des ordinateurs quantiques.
00:44Les courbes en rouge, c'est celle qui permettrait de casser RSA.
00:49Donc vous voyez qu'il y a encore plusieurs ordres de grandeur
00:51à franchir pour ces ordinateurs quantiques.
00:55Ils progressent, il y a beaucoup d'investissements qui sont faits.
00:59Mais bon, les progrès sont, on va dire, progressifs.
01:05Inversement, les courbes rouges pourraient également se déplacer
01:08vers la gauche si on avait des progrès dans l'algorithmique quantique
01:14qui permettrait de plus facilement casser ces algorithmes.
01:18Alors personne ne sait quand un ordinateur quantique suffisamment puissant
01:21pour casser les algorithmes actuellement utilisés,
01:24le benchmark CRSA 2048 arrivera.
01:27Si on regarde la courbe de droite,
01:31donc qui a été établie par 32 experts interrogés par le Global Risk Institute,
01:36on voit que la plupart considèrent que ça ne va pas arriver dans 5 ans,
01:40mais que dans un horizon de 20 ans, c'est très probable.
01:47Alors, la cryptographie actuelle est menacée,
01:52mais ce qui est principalement à risque, c'est toute la cryptographie asymétrique.
01:58Donc tout ce qui sert pour échanger des clés ou pour la signature ou l'authentification.
02:08Le chiffrement symétrique est aussi affecté, mais de moindre manière,
02:11par l'algorithme de Grover qui induit une réduction quadratique de la difficulté de cassage.
02:19Donc par exemple, si on a de l'AES 128,
02:22pour un ordinateur quantique, ça revient à le réduire à de l'AES 64,
02:26ce qui est bien sûr insuffisant.
02:28Alors c'est une transition qu'il faut engager dès maintenant.
02:32Pourquoi ? Parce que bien que ces ordinateurs quantiques ne soient pas encore disponibles,
02:36il y a plusieurs raisons à ça.
02:37Donc les attaques rétroactives, dont vous avez peut-être entendu parler,
02:41qui ont déjà eu lieu dans le passé,
02:44où un attaquant suffisamment motivé décide d'enregistrer toutes les communications
02:48dans lesquelles il pense qu'il peut y avoir des choses intéressantes à l'avenir,
02:51et il attend d'avoir un ordinateur, il les garde au frais,
02:54en attendant d'avoir un ordinateur suffisamment puissant pour les décrypter.
03:02On pourrait aussi attaquer tout ce qui est les signatures,
03:07en falsifiant à l'avenir des choses qui aujourd'hui sont considérées comme sûres.
03:15Et la dernière raison, peut-être la plus importante,
03:19c'est que la transition post-quantique prendra du temps.
03:21Le NIST américain a constaté historiquement qu'entre la publication d'un standard
03:26et son implémentation complète, il se passe entre 10 et 20 ans.
03:30L'ANSI considère qu'il faudra au moins 10 ans pour faire cette transition.
03:36Et puis il y a une équation très simple qui permet de savoir si on est concerné.
03:40si on estime que la durée de migration plus la durée de protection des données,
03:44par exemple les secrets commerciaux, on veut les protéger pendant 10 ans,
03:50et bien si la somme des deux est supérieure au délai d'arrivée d'un ordinateur quantique suffisamment puissant,
03:56on a un problème.
03:59Alors il y a deux réponses face à la menace quantique.
04:02La cryptographie post-quantique, d'un côté,
04:05qui utilise une approche logicielle
04:11basée sur des problèmes mathématiques réputés
04:15sûrs par rapport aux ordinateurs quantiques.
04:17Et la QKD, qui est très différente,
04:20qui est une approche matérielle,
04:21qui utilise les propriétés quantiques de la matière
04:25pour générer des clés cryptographiques.
04:30Alors la PQC et la QKD sont assez différentes dans leurs qualités respectives,
04:35mais en pratique, la PQC, c'est la seule solution d'ambition générale.
04:43La QKD reste réservée à des usages très spécifiques.
04:48Les deux peuvent se combiner, d'ailleurs elles ne s'opposent pas,
04:50mais on peut difficilement faire de la QKD seule
04:55comme solution face à la menace quantique.
05:00Alors depuis la précédente présentation de la menace quantique au FRNOG,
05:08les choses ont évolué,
05:09puisque en 2024, le NIST américain a standardisé
05:13trois protocoles réputés sûrs face à un ordinateur quantique,
05:20MLKM pour l'échange de clés,
05:24et MLDSA et SLHDSA pour la signature électronique.
05:30Alors j'ai mis en dessous les tailles des clés échangées
05:33pour signaler que ces nouveaux algorithmes
05:39sont beaucoup plus encombrants que les anciens.
05:44Donc ça a des impacts, mais c'est gérable.
05:48Une autre notion très importante par rapport à la cryptographie post-quantique,
05:53j'ai oublié de vous dire que je n'aborderai pas la QKD dans cette présentation,
05:57j'ai juste voulu vous présenter la distinction entre les deux.
06:03L'hybridation, c'est le fait de combiner un algorithme classique,
06:08ce qu'on connaît,
06:10avec un algorithme de cryptographie post-quantique,
06:15de manière à ce que, même si l'un des algorithmes est cassé,
06:19l'ensemble reste sûr.
06:22Alors, qu'est-ce qui motive l'hybridation ?
06:26C'est le fait qu'aujourd'hui,
06:29les algorithmes post-quantiques sont relativement nouveaux
06:32et certaines agences réglementaires
06:36ne sont pas très tranquilles face à l'absence de recul
06:40que l'on a sur ces nouveaux algorithmes,
06:46alors que ceux qu'on connaît
06:47ont des dizaines d'années de cryptanalyse derrière eux
06:51et sont réputés très robustes.
06:56Donc, abandonner complètement quelque chose qui marche aujourd'hui,
07:00qui est réputé fiable,
07:03pour se protéger d'une menace future,
07:05ça leur paraît un petit peu risqué.
07:08Et donc, par exemple, la position de l'ANSI,
07:10mais ce n'est pas la seule,
07:11toutes les agences européennes
07:14qui se sont exprimées sur le sujet ont la même ligne,
07:16c'est de dire, il faut faire de l'hybridation.
07:19Et c'est au moins ça jusqu'en 2030.
07:21Donc, l'ANSI se donne environ 5 ans,
07:22parce que ça a été publié l'année dernière,
07:27pour vérifier la validité
07:30des algorithmes post-quantiques.
07:34Là-dessus, c'est intéressant de noter
07:36qu'il y a une divergence de vue avec les Américains,
07:39en particulier la NSA,
07:41qui a tendance à dire,
07:42ne faites pas de post-quantique,
07:44ne faites pas d'hybridation.
07:49Alors, moi, j'ai un peu de mal à comprendre
07:51les raisons de la NSA,
07:52parce que quand on regarde, par exemple,
07:54les benchmarks qui ont été faits sur TLS,
07:56le fait de rajouter un protocole classique
08:01comme des courbes élitiques,
08:04c'est absolument négligeable.
08:06Si je n'ai pas trop dépassé le temps,
08:08je vous montrerai le résultat de ces benchmarks
08:11à la fin de la présentation.
08:13Donc, en fait, si vous voulez aujourd'hui
08:16que votre solution soit validée par l'ANSI,
08:19il faut absolument qu'elle soit hybride.
08:23et donc, ça peut être intéressant,
08:25en particulier vis-à-vis de fournisseurs américains,
08:28de s'assurer qu'ils font bien de l'hybride.
08:33Donc, il y a beaucoup de protocoles
08:35qu'on a l'habitude d'utiliser aujourd'hui
08:37qui sont à risque.
08:39Donc, quand le niveau est marqué critique,
08:41c'est qu'aujourd'hui,
08:43ils seraient complètement cassés
08:45par un ordinateur quantique suffisamment puissant.
08:50Il y a quand même des choses
08:51qu'on va pouvoir garder.
08:52D'abord, du fait de l'hybridation,
08:54on va en garder un certain nombre.
08:56Et puis, l'AES,
08:58donc le chiffrement symétrique,
08:59on a vu qu'il suffit d'augmenter la taille des clés.
09:01Donc, on peut passer à de l'AES 256.
09:04Et la plupart des agences considèrent
09:07que l'AES 256 est suffisamment robuste
09:10et il n'y a pas besoin d'aller au-delà.
09:14Mais il y a quand même beaucoup de choses
09:16qui doivent évoluer.
09:19Puisque c'est tout ce qu'on utilise aujourd'hui
09:21qui est à risque.
09:24Alors, il y a donc des solutions.
09:26Là, j'ai mis les algorithmes
09:29qui sont considérés d'un niveau de sécurité suffisant.
09:33Le NIST américain a standardisé
09:35cinq niveaux de sécurité
09:37qui vont de l'AES
09:40à l'équivalent AES 128
09:42jusqu'à l'AES 256.
09:45Donc, le niveau 5,
09:47c'est équivalent à de l'AES 256
09:49comme sécurité.
09:51Le niveau 3, c'est de l'AES 192.
09:54Et donc, il y a un certain nombre d'algorithmes
09:56qui ont été standardisés.
09:57Par exemple, dans les signatures,
10:02il y a un ML DSA 44,
10:05donc avec des clés plus petites.
10:07Mais celui-là, il a un niveau de sécurité de 1.
10:09Et aujourd'hui, si on regarde
10:11ce que préconise l'ANSI,
10:13ce n'est pas considéré comme un niveau suffisant.
10:16Donc, a priori,
10:18ce n'est pas la peine de partir
10:19sur ce type de solution.
10:23Mais sinon, tout ce qui est référencé là
10:25est utilisable aujourd'hui
10:27pour faire du poste quantique.
10:31En particulier,
10:32les protocoles TLS que je décris,
10:35ce sont tous des protocoles hybrides
10:39qui seront reconnus
10:41par les agences réglementaires.
10:43Alors, le changement de tous ces protocoles
10:45dont on avait l'habitude,
10:47ça implique en fait une vraie transformation
10:51parce qu'on installait des protocoles cryptographiques
10:55et puis on ne s'en occupait pas beaucoup.
10:57On a eu quand même à passer
10:59de RSA 1024 à RSA 2048 ou 4096.
11:03Mais on ne gère pas vraiment
11:07la cryptographie aujourd'hui.
11:09Et si on veut aller vers une cryptographie
11:12résistante au quantique,
11:13ça devient un vrai processus
11:16qu'il faut engager
11:16pour gérer,
11:18donc savoir ce qu'on utilise
11:20à l'heure actuelle
11:21comme cryptographie
11:22et définir ses priorités
11:24et gérer l'upgrade,
11:27la mise à jour
11:28de ces solutions cryptographiques
11:30pour être certain
11:32que ce qu'on a
11:32est suffisamment résistant
11:35et être à l'état de l'art.
11:39Et ne pas engager ce processus,
11:43c'est s'exposer à des risques
11:47importants,
11:48dans l'avenir en particulier.
11:50Parce qu'on l'a vu,
11:51les ordinateurs quantiques
11:52ne sont pas encore assez puissants.
11:54Alors, nous,
11:56à OINIS,
11:57Orange International Network Infrastructure,
12:01une partie de Orange Wallsale,
12:04on commence tout juste
12:05à traiter le sujet.
12:08Donc, on a commencé
12:09à définir nos axes de travail
12:11et on a commencé
12:12à explorer quelques pistes.
12:14Donc, notre priorité,
12:15c'est les réseaux d'admin.
12:16On veut garder le contrôle
12:17sur nos réseaux.
12:20On commence à tester
12:22des solutions de découverte
12:23et d'analyse cryptographique
12:24parce qu'en fait,
12:25on ne sait pas très bien
12:26ce qui tourne comme
12:28protocole crypto
12:31sur nos réseaux
12:33et sur nos équipements.
12:35Donc, la première chose à faire,
12:37c'est d'inventorier tout ça,
12:39réaliser ce qu'on appelle
12:40une cryptographique
12:42Build of Materials,
12:43C-BOM,
12:44pour décider de ce que l'on doit
12:46grader en priorité.
12:49On a commencé aussi
12:50à définir une configuration
12:52résistante au quantique
12:54pour les tunnels IPsec.
12:58Pour les équipements
12:59qui ne peuvent pas évoluer
13:00et il y en a un certain nombre,
13:02on va encapsuler leur trafic
13:04dans des tunnels IPsec
13:06qui, eux,
13:07seront résistants au quantique.
13:10On travaille également
13:11la configuration de VPN
13:12résistante au quantique
13:14et on étudie l'opportunité
13:18de chiffrer au niveau
13:21de nos backbones,
13:22d'avoir un chiffrement
13:23résistant aux ordinateurs quantiques.
13:26Alors ça,
13:26on ne sait pas trop
13:26si ça peut intéresser le marché
13:28parce que la tendance historique,
13:31c'est plutôt que
13:32le chiffrement s'est déplacé
13:34vers les couches hautes.
13:36Donc là,
13:36ce serait un peu l'inverse.
13:39Donc, on va regarder.
13:40Vous savez, c'est faisable,
13:42mais est-ce que...
13:44Parce qu'on n'a jamais vendu
13:47de chiffrement.
13:48On vend du débit,
13:50du débit,
13:51de la disponibilité,
13:52mais on ne vend pas de chiffrement.
13:53On laisse ça
13:54à nos clients
13:55ou aux couches hautes.
13:58Donc,
13:59et puis,
14:00le volet sur lequel
14:01on n'a pas vraiment
14:02engagé de travaux,
14:04c'est tout ce qui est
14:05certificat et authentification
14:07parce qu'il n'y a pas...
14:09Aujourd'hui,
14:10il n'y a pas
14:11une totale maturité
14:12des standards.
14:14Par exemple,
14:15le X509 V3
14:19ne permet pas
14:19de faire de l'hybridation.
14:21Alors,
14:21comme vous l'avez vu,
14:23l'ANSI recommande
14:24d'utiliser
14:25des protocoles hybrides,
14:27y compris pour les signatures.
14:31Voilà,
14:32je crois que j'ai terminé.
14:34Tu parlais de consommation
14:36sur TLS ?
14:37Je crois que tu as un slide.
14:38Alors,
14:39je vais essayer de le retrouver.
14:41Alors,
14:41ça,
14:41c'est la feuille de route.
14:42Voilà.
14:43Donc,
14:43ça,
14:43c'est un benchmark
14:44qui a été fait.
14:45Donc,
14:45vous voyez à gauche,
14:47par exemple,
14:48on va prendre
14:49les courbes elliptiques.
14:53Donc,
14:53le deuxième graphe
14:55en partant
14:55de la gauche.
14:57Donc,
14:57ça,
14:57c'est du classique actuel.
14:59Et,
15:00si on le compare
15:03à du...
15:05on va prendre
15:06les niveaux
15:06de catégorie
15:07de sécurité maximale,
15:08il n'y a pas
15:09beaucoup de différence.
15:11Donc,
15:11MLDSA 87,
15:13le cinquième
15:14en partant de la gauche,
15:16on voit qu'il y a quand même
15:17un impact
15:18de 50%
15:20sur le temps
15:20d'établissement TLS.
15:22Bon,
15:23cela dit,
15:23ça reste acceptable
15:24parce que des obsédés
15:25de la performance
15:26comme Cloudflare
15:26ou Google
15:27ont déjà mis en œuvre
15:29ces protocoles.
15:31et l'autre raison,
15:33ce que je voulais signaler
15:34aussi,
15:34c'est qu'on voit,
15:35par exemple,
15:36si on prend la dernière courbe,
15:37celle la plus à droite,
15:39on voit que la différence
15:40entre faire de l'hybride
15:42ou pas faire de l'hybride
15:43est absolument négligeable.
15:45Donc,
15:46autant faire de l'hybride
15:49et comme je le disais
15:51tout à l'heure,
15:52moi,
15:52j'ai un peu de mal
15:53à comprendre
15:53mais si...
15:54on pourra en discuter
15:56après.
15:56Si quelqu'un
15:58a compris
15:58les raisons
15:59de la NSA
15:59pour dire surtout
16:00ne faites pas d'hybride,
16:02moi,
16:02ça m'intéresse.
16:04Voilà.
Commentaires