Projets

Mastercard affronte la menace quantique sur le chiffrement

« L'impact de la compromission des méthodes actuelles de chiffrement PKI pourrait littéralement menacer notre capacité à opérer en toute sécurité », prévient George Maddaloni, CTO de Mastercard (Photo : Mastercard DR)

En raison de ses capacités de calcul, l'informatique quantique menace de rendre inopérants les systèmes cryptographiques traditionnels. Face au danger qui pèse sur les milliards de transactions quotidiennes qu'il opère, Mastercard a décidé de se préparer. Pas simple.

PublicitéL'écosystème des paiements numériques est une proie tentante pour les cyberattaquants. Mais les milliards de transactions en ligne quotidiennes sont protégées par des technologies de chiffrement à clé publique. Toutefois, une menace nouvelle plane. En effet, à mesure que les systèmes quantiques prendront de la puissance, ils seront en mesure de casser ces algorithmes cryptographiques. Un ordinateur quantique cryptographique (CRQC pour cryptographically relevant quantum computer) pourrait avoir un impact dévastateur sur les protocoles mondiaux de cybersécurité. Pour cette raison, Mastercard a décidé de se préparer en lançant un projet appelé Quantum Security and Communications.

Avec la cryptographie à clé publique qui protège actuellement les transactions, la personne ou l'entité qui envoie le message le verrouille à l'aide d'une clé accessible au public et l'entité qui le reçoit le déchiffre à l'aide d'une clé privée. Puisque seul le destinataire dispose de cette dernière, la transaction est sécurisée. Les clés privées sécurisées découlent d'algorithmes mathématiques - celui de Rivest-Shamir-Adleman (RSA) couramment - qu'il est impossible de casser par reverse engineering et donc de pirater. Du moins, c'était le cas jusqu'à ce qu'un système quantique réussisse !

Les organisations privées et publiques se préparent à ce danger potentiel avec deux types de solutions : un nouvel ensemble d'algorithmes spécifiquement conçus pour résister au quantique et sur lesquels baser les clés privées (on parle de cryptographie post-quantique, PQC) ou l'utilisation de la physique quantique (distribution quantique des clés, QKD).
Le projet de Mastercard se concentre sur cette seconde méthode. D'autres entreprises du secteur financier explorent également la QKD. Parallèlement, des institutions publiques telles que le National institute of standards and technology (NIST) suivent l'approche PQC dite « harden-the algorithms » sur lequel repose notamment le protocole Post-Quantum Extended Diffie-Hellman choisi dernièrement par Signal. Le NIST a sélectionné quatre algorithmes résistants au quantique et est en train de les normaliser. Les versions définitives devraient être disponibles au cours du premier semestre 2024. Le NIST a par ailleurs défini une feuille de route à suivre pour les entreprises qui souhaitent se préparer.

La rareté des solutions disponibles

Avec son projet pilote qui utilise la méthode de distribution des clés quantiques, Mastercard a déterminé les exigences architecturales et les limites de la QKD, ainsi que le niveau de préparation opérationnelle des systèmes QKD. George Maddaloni, CTO des opérations de Mastercard, indique que l'équipe a testé la solution de distribution de clés quantiques sur un réseau de fibres noires. L'entreprise a travaillé avec Toshiba et ID Quantique pour produire les clés, ainsi que deux fournisseurs de réseaux avec lesquels il a déjà travaillé par le passé. Ces derniers ont contribué à comprendre les éléments liés au réseau IP. L'objectif était de dresser un inventaire du réseau de Mastercard qui compte des milliers de « endpoints » connectés avec des solutions de télécommunication différentes. « Nous voulions vérifier si les capacités de distribution de clés quantiques fonctionnaient dans l'ensemble de cet environnement », précise le CTO.

Publicité« Les services et équipements disponibles compatibles avec QKD sont encore très spécialisés et en quantité limitée, poursuit-il. Il existe encore peu de fournisseurs de matériel compatibles avec ces systèmes. » La conception du test a constitué un autre défi. La QKD exige que les photons individuels arrivent à des moments précis. Or, des facteurs externes tels que le bruit, les changements de température et les vibrations peuvent perturber les états quantiques nécessaires au chiffrement. « Le projet a été conçu pour relever ces défis et fournir des résultats prouvables ainsi qu'une validation du potentiel de la technologie », ajoute le CTO de Mastercard. Et il a été couronné de succès.

Le nécessaire remplacement du PKI

Les questions de cybersécurité telles que celles abordées par Mastercard sont essentielles, car elles touchent aux fondements mêmes du système que les institutions financières ont construit. « La sécurité des transactions et la confiance de nos clients sont l'épine dorsale de notre activité, confirme George Maddaloni. L'impact de la compromission des méthodes actuelles de chiffrement PKI pourrait littéralement menacer notre capacité à opérer en toute sécurité [...]. Se préparer à un paysage post-quantique fait partie intégrante de notre travail et envoie le bon message à nos partenaires, à nos clients et aux régulateurs. »

De son côté Jeff Miller, DSI et vice-président senior des technologies de l'information et de la sécurité chez Quantinuum, société de services quantiques, confirme que la protection des données est vitale dans ce cadre, car « il s'agit d'un contrat de confiance avec le consommateur ». Pour devenir « cryptoagile », il faut se rendre compte que les acteurs malveillants sont de plus en plus créatifs dans la manière dont ils s'introduisent dans les environnements. Les entreprises doivent donc continuer à mettre en place un processus itératif et à développer des protocoles pour se défendre face à ces nouvelles vulnérabilités. Alors que des établissements financiers tels que Mastercard se préparent en utilisant leurs propres projets pilotes, le comité de normalisation de l'industrie X9 travaille également sur des conseils pour le secteur de la finance, souligne Dustin Moody, mathématicien en charge du projet de cryptographie post-quantique au sein du NIST.

« La migration sera complexe »

Selon les experts du sujet, la route reste encore longue et difficile vers des solutions efficientes. « La disponibilité des services et des équipements de distribution de clés quantiques reste très limitée. Certains constructeurs avec lesquels nous avons travaillé ne proposent des fonctions de ce type que depuis peu de temps, confirme George Maddaloni. Certaines ne sont même pas encore disponibles. Mais je pense que le secteur a maintenant compris que la finance en aura besoin. »

Malgré tout, Dustin Moody conseille aux entreprises d'affiner leur préparation post-quantique. « Il faut commencer par l'inventaire de toutes les instances de cryptographie à clé publique dont vous disposez, ce qui est délicat et prend du temps, prévient le mathématicien. La migration sera complexe et prendra du temps [...] c'est pourquoi il faut prendre de l'avance dès que possible. »

Un point de vue partagé par Jeff Miller qui compare le processus à la préparation du passage à l'an 2000 surnommée alors Y2K, lorsque les entreprises s'inquiétaient du formatage et du stockage des informations au-delà de cette date. La migration nécessaire au post-quantique a même un acronyme qui s'en inspire : Y2Q. Selon le DSI de Quantinuum, la différence essentielle réside dans le fait qu'il existait un compte à rebours fixe pour le passage à l'an 2000. L'ordinateur quantique pertinent en matière cryptographique n'existe pas encore, mais il pourrait arriver dans cinq ans. Ou dix ans. « Ce qui m'empêche de dormir, s'inquiète Jeff Miller, c'est que nous ne connaissons justement pas la date à partir de laquelle nos méthodes de chiffrement actuelles deviendront obsolètes. »