La cryptographie constitue un élément essentiel pour sécuriser les données informatiques. À la pointe du secteur figure l’entreprise genevoise ID Quantique.
Pour beaucoup, les données représentent le pétrole du XXIe siècle. Normal, donc, qu’il faille les protéger. Sensibles (numéros de comptes bancaires ou secrets technologiques), il faut éviter qu’elles ne puissent être subtilisées. Privées (échanges téléphoniques, SMS, mails), mieux vaut empêcher leur interception. Personnelles (informations d’identité, ou de login dans le cas d’un compte d’e-banking), on doit faire en sorte qu’elles ne puissent pas être usurpées. Coûteuses (argent dans le cas de transactions commerciales), il faut prévenir leur détournement. Cruciales (infrastructures critiques), il devient indispensable de déjouer leur prise de contrôle par des terroristes. Dans autant de cas, la cryptographie intervient afin d’assurer que les données ne puissent être reçues, ou consultées, que par certains destinataires bien précis.
Dans la chaîne cybersécuritaire, la cryptographie apparaît comme le maillon le plus solide. «Il s’agit de la noix la plus dure à casser», sourit Pascal Junod, professeur à la Haute Ecole d’ingénierie et de gestion du Canton de Vaud — HEIG-VD, qui, durant sa carrière, a notamment conçu des algorithmes cryptographiques pour le milieu industriel. Bruce Schneier, cryptologue américain renommé, décrit la sécurité d’internet comme une course à l’armement, où l’assaillant détient généralement un avantage sur le défenseur. Généralement… car cela ne vaut pas pour la cryptographie. «Non seulement, la défense en cryptographie est plus facile que l’attaque. Mais elle est tellement plus facile que l’attaque en devient pratiquement impossible», écrit-il dans son ouvrage Data and Goliath.
C’est mathématique. Pour illustrer l’avantage du cryptage, Bruce Schneier rappelle l’importance d’un paramètre: la longueur de la clé de chiffrement, mais surtout, l’augmentation exponentielle de la difficulté à casser des clés de plus en plus longues. «Une clé de 64-bits pourrait nécessiter un jour à l’assaillant avant d’être cassée. Une clé de 65-bits nécessiterait deux jours au même assaillant. Une clé de 128-bits, qui nécessite seulement deux fois plus de travail qu’une clé de 64-bits au moment du cryptage, prendrait à l’assaillant 264 fois plus de temps à casser, soit un million de milliards d’années.» C’est dire le fantastique potentiel de la cryptographie.
Cryptographie quantique
L’histoire du domaine remonte à des millénaires, certains considérant les hiéroglyphes comme en étant un exemple précoce puisqu’il était bel et bien nécessaire de les «déchiffrer». Toutefois, c’est sans doute la Mésopotamie qui, la première, accoucha d’une méthode qui attribuait un équivalent numérique aux noms selon un système cohérent. L’empereur romain Jules César également utilisait la cryptographie lorsque, pour envoyer un message secret, il remplaçait chaque lettre par un chiffre correspondant, selon une clé de chiffrage partagée. Les systèmes de chiffrement n’ont jamais cessé d’imprégner le milieu militaire. Dans le domaine civil, les premières applications de la cryptographie remontent aux années 1980, afin de sécuriser les systèmes de paiement bancaires. L’arrivée d’internet, puis des GSM, lui a donné un nouvel élan. Aujourd’hui, la voici omniprésente. Chaque personne l’utilise sans le savoir, sur internet où une grande partie du trafic est chiffré, ou sur son smartphone, où les communications le sont aussi.
Désormais c’est la cryptographie quantique, et même post-quantique, qui capte l’attention. Tandis que l’échange de datas confidentielles, par un canal tel que l’internet, fait appel à des algorithmes de chiffrement asymétriques classiques, la cryptographie quantique vise non pas à simplement crypter un message, mais à utiliser les lois de la physique quantique pour établir des protocoles qui permettent de distribuer une clé de chiffrement secrète entre deux interlocuteurs distants, en assurant la sécurité de la transmission. Ce sont les photons et leur polarisation qui, détectés (ou non) après leur passage à travers un filtre, permettent de faire naître des clés à la sûreté redoutable.
À Genève, une société s’est spécialisée dans la cryptographie quantique, dont les méthodes sont réputées inviolables: ID Quantique, fondée par Grégoire Ribordy. «Mes deux directeurs de thèse en physique appliquée à l’Université de Genève, les professeurs Gisin et Zbinden, nous avaient toujours encouragés à ne pas rester dans une tour d’ivoire, se souvient le physicien devenu directeur d’entreprise. Une fois mon doctorat obtenu, en 2001, j’ai émis le souhait de ne pas être enfermé dans un laboratoire. C’est alors que nous avons songé à créer une société de cryptographie.» Ainsi naît ID Quantique, une «spin-off» de l’Université de Genève. À l’époque, l’équipe était formée de quatre associés. Désormais, ils sont 50, dont la moitié au sein du département recherche et développement.
Petites entreprises en avance
Ce développement s’explique par le cercle vertueux entretenu avec l’Université, qui se concentre sur la recherche, tandis qu’ID Quantique (dont les principaux clients sont issus des milieux bancaires, financiers, militaires et gouvernementaux) se consacre au développement, au produit. Et puis il y a cette vision, unique en Suisse, presque au monde, focalisée non sur la cryptographie au sens large, mais sur la crypto quantique. «Essentiellement, il s’agit d’un chiffrement de données à la volée», résume Grégoire Ribordy. Un marché en plein essor. Ainsi, l’entreprise genevoise vient d’ouvrir un bureau à Londres et de conclure un important partenariat avec le géant coréen SK Telecom.
Le point d’interrogation réside dans la résistance qu’opposera la cryptographie au développement possible d’ordinateurs quantiques dont les capacités de calcul seront massivement augmentées. «Il n’est pas exclu que des données subtilisées et ne pouvant être décryptées aujourd’hui puissent l’être à l’avenir, grâce à ces nouveaux ordinateurs, admet Grégoire Ribordy. Evidemment, si ces données ont encore de la valeur à ce moment-là, cela pourrait représenter un problème.» Un autre problème auquel penser est l’usage de la cryptographie par des personnes de mauvaise volonté, comme des terroristes. Forcément, cette perspective pourrait poser de grands enjeux aux démocraties et à l’ordre établi.
Les «cyber enjeux» sont colossaux, non seulement pour les gouvernements et les militaires, mais aussi pour le milieu industriel et la protection des infrastructures critiques. «Trop souvent encore, nos interlocuteurs du milieu industriel pensent que leurs réseaux sont solides, alors que c’est faux, lance Jean-Roland Schuler, professeur à la Haute Ecole d’ingénierie et d’architecture de Fribourg — HEIA-FR. Nous faisons face à une résistance et, paradoxalement, ce sont les petites entreprises qui sont en avance sur les plus grandes en termes de protection. Or les conséquences d’une protection approximative pourraient être désastreuses. Imaginez que des hackers pénètrent dans le réseau d’EDF [Electricité de France], premier producteur et fournisseur d’électricité en France. Un blackout du réseau pourrait paralyser la nation tout entière. Ce serait catastrophique.» La science permet déjà d’injecter de mauvaises «trames» dans un réseau industriel, et de provoquer ainsi un blackout électrique.
«La cybersécurité ressemble à une maison, reprend Pascal Junod. Que la cryptographie, qui représente en quelque sorte les murs porteurs, soit solide, c’est bien. Mais cela ne suffit pas.» La mathématique du cryptage est hébergée sur un ordinateur. Cet ordinateur sera relié à un réseau, et dirigé par une personne. Ce qui débouche sur une vulnérabilité. «Le maillon le plus faible de la chaîne cybersécuritaire, c’est l’homme.»
_______
Une version de cet article est parue dans la revue Hémisphères (no 13).
Pour vous abonner à Hémisphères au prix de CHF 45.- (dès 45 euros) pour 6 numéros, rendez-vous sur revuehemispheres.com.