Cloudflare vise une sécurité entièrement post-quantique d’ici 2029

 (blog.cloudflare.com)
5 points par GN⁺ 23 일 전 | 1 commentaires | Partager sur WhatsApp
  • Cloudflare s’est fixé pour objectif de faire basculer d’ici 2029 l’authentification et les systèmes de chiffrement de tous ses produits vers une sécurité post-quantique, et accélère son calendrier pour se préparer au Q-Day (le moment où les ordinateurs quantiques pourront casser les chiffrements actuels)
  • À l’heure actuelle, plus de 65 % du trafic utilise déjà un chiffrement post-quantique, mais l’entreprise précise qu’une protection complète est impossible si les mécanismes d’authentification ne sont pas eux aussi résistants au quantique
  • Des recherches de Google et d’Oratomic montrent que les capacités de décryptage des ordinateurs quantiques progressent plus vite que prévu, ce qui soulève la possibilité d’un Q-Day avant 2030
  • Cloudflare fait de la sécurisation quantique des systèmes d’authentification sa priorité absolue, avec des jalons définis étape par étape pour mener la transition de sécurité sur l’ensemble de sa gamme de produits
  • Toutes les mises à niveau post-quantiques seront proposées gratuitement, quel que soit le forfait, et Cloudflare affirme ainsi renforcer sa mission de « construire un meilleur Internet »

L’objectif de Cloudflare : une sécurité entièrement post-quantique en 2029

  • Cloudflare a fixé l’objectif de faire passer l’ensemble de son portefeuille de produits à une sécurité post-quantique (PQ) d’ici 2029, y compris pour l’authentification (Authentication)
  • Après avoir commencé à proposer des certificats SSL gratuits en 2014, l’entreprise a préparé sa transition post-quantique en 2019, puis appliqué en 2022 le chiffrement post-quantique à tous les sites web et API
  • Aujourd’hui, plus de 65 % du trafic de Cloudflare utilise un chiffrement post-quantique, mais l’entreprise précise qu’une protection complète reste impossible si les systèmes d’authentification ne sont pas quantiquement sûrs
  • De récentes recherches de Google et d’Oratomic ont montré que la progression des capacités de décryptage des ordinateurs quantiques est plus rapide qu’anticipé, ce qui laisse envisager un Q-Day (le jour où les ordinateurs quantiques casseront les chiffrements actuels) avant 2030
  • En conséquence, Cloudflare accélère son calendrier interne de préparation au Q-Day et mène sa transition de sécurité en mettant l’accent sur les systèmes d’authentification

Progrès du calcul quantique et accélération du Q-Day

  • Google a annoncé avoir considérablement amélioré les performances d’un algorithme quantique capable de casser la cryptographie sur courbes elliptiques (ECC), sans publier l’algorithme lui-même, mais en en prouvant l’existence via une preuve à divulgation nulle de connaissance (Zero-Knowledge Proof)
  • Le même jour, Oratomic a publié des estimations des ressources nécessaires pour casser RSA-2048 et P-256 sur un ordinateur quantique à atomes neutres (Neutral Atom), indiquant que, pour P-256, 10 000 qubits suffiraient
  • Cela clarifie pourquoi Google développe aussi en parallèle une approche à base d’atomes neutres, tandis qu’Oratomic a volontairement gardé certains détails non publics
  • Google a par conséquent avancé à 2029 son propre objectif de transition post-quantique, et le CTO d’IBM Quantum Safe a indiqué qu’il n’était pas possible d’exclure des « moonshot attacks » contre des cibles à forte valeur vers 2029
  • Scott Aaronson a averti fin 2025 que le moment était venu où les estimations de ressources pour le cassage quantique ne seraient plus rendues publiques, et Cloudflare estime que ce moment est déjà passé

Les trois axes de progrès des ordinateurs quantiques

  • Matériel : plusieurs approches avancent en parallèle, notamment les atomes neutres, les supraconducteurs, les pièges à ions, les photons et les qubits topologiques
    • Par le passé, leur capacité à passer à l’échelle suscitait des doutes, mais l’approche par atomes neutres est récemment celle qui a progressé le plus vite
    • La montée en charge à très grande échelle n’est pas encore démontrée, mais plusieurs approches se rapprochent d’un seuil critique
  • Correction d’erreurs (Error Correction) : tous les ordinateurs quantiques étant très bruités, les codes de correction d’erreurs sont indispensables
    • L’approche supraconductrice exige environ 1 000 qubits physiques pour 1 qubit logique, alors qu’Oratomic avance que l’approche par atomes neutres n’en nécessiterait que 3 à 4
  • Logiciel : Google a fortement accéléré l’algorithme de cassage de P-256, et Oratomic a proposé des améliorations supplémentaires optimisées pour des qubits reconfigurables
  • Les progrès simultanés sur ces trois axes ont ramené l’estimation du Q-Day d’après 2035 à avant 2030

Pourquoi une transition de sécurité centrée sur l’authentification est nécessaire

  • Jusqu’ici, la réponse post-quantique de l’industrie s’est concentrée principalement sur le chiffrement (Encryption), avec pour objectif de contrer les attaques Harvest-Now/Decrypt-Later (HNDL)
  • Une attaque HNDL consiste à collecter des données aujourd’hui pour les déchiffrer plus tard avec un ordinateur quantique, et constitue la menace principale tant que le Q-Day reste lointain
  • Mais à mesure que le Q-Day approche, les systèmes d’authentification deviennent plus risqués encore : un attaquant pourrait usurper un serveur ou falsifier des identifiants d’accès
  • L’exposition d’une seule clé d’authentification vulnérable au quantique peut compromettre l’ensemble du système, et les mécanismes de mise à jour automatique deviennent alors une voie d’exécution de code à distance (RCE)
  • Dès lors, la question la plus importante n’est plus « quand les données chiffrées deviendront-elles vulnérables ? », mais « quand un attaquant pourra-t-il pénétrer un système avec une clé falsifiée par des moyens quantiques ? »

  • Prioriser les systèmes les plus vulnérables

    • Les premiers ordinateurs quantiques étant coûteux et rares, les attaquants viseront en priorité des clés de longue durée à forte valeur, comme les certificats racine, clés API et certificats de signature de code
    • Plus le coût d’attaque est élevé, plus ces clés de longue durée deviennent prioritaires ; mais si des CRQC rapides (ordinateurs quantiques) apparaissent, les attaques HNDL redeviendront plus avantageuses
    • Sophie Schmieg de Google compare cela à l’évolution stratégique du décryptage d’Enigma pendant la Seconde Guerre mondiale

  • Empêcher les attaques par rétrogradation

    • Prendre en charge le chiffrement PQ ne suffit pas : il faut aussi désactiver complètement les algorithmes vulnérables au quantique
    • Dans un environnement comme le web, où les clients sont très variés, cette désactivation complète est difficile
    • En HTTPS, une protection partielle est possible avec PQ HSTS ou la transparence des certificats (Certificate Transparency)
    • Une fois tous les algorithmes vulnérables supprimés, il faut aussi remplacer les secrets déjà exposés, comme les mots de passe ou les tokens
    • La transition de l’authentification est bien plus complexe que celle du chiffrement et nécessite une période de migration de plusieurs années

  • Prendre en compte les dépendances tierces

    • Le Q-Day affectera tous les systèmes ; il faut donc évaluer non seulement les partenaires avec lesquels on communique directement, mais aussi les dépendances indirectes, notamment dans la finance et les infrastructures
    • Il faut prioriser le remplacement des clés de longue durée, coopérer avec les tiers et coordonner une transition simultanée de l’ensemble de l’écosystème

La feuille de route post-quantique de Cloudflare

  • Aujourd’hui, Cloudflare applique déjà par défaut un chiffrement post-quantique à la plupart de ses produits, ce qui atténue les attaques HNDL
  • L’entreprise vise d’ici 2029 une sécurité entièrement post-quantique sur toute sa gamme, authentification comprise
  • Des jalons intermédiaires ont été définis selon le niveau de risque perçu et la difficulté de déploiement, avec des ajustements possibles selon l’évolution de la situation

Recommandations selon les organisations

  • Entreprises

    • Il est recommandé d’inclure la prise en charge post-quantique dans les exigences d’approvisionnement
    • Les pratiques de base en sécurité, comme la mise à jour des logiciels et l’émission automatisée de certificats, restent essentielles
    • Il faut évaluer tôt l’impact qu’une réponse insuffisante des fournisseurs clés pourrait avoir sur l’activité

  • Gouvernements et régulateurs

    • Fixer un calendrier clair et désigner une autorité pilote peut accélérer la transition dans l’ensemble de l’industrie
    • Une fragmentation des standards entre pays est un facteur de risque ; il faut donc avancer de manière cohérente sur la base de standards internationaux
    • Plus que la peur, c’est un leadership proactif fondé sur la confiance qui importe

  • Clients Cloudflare

    • Cloudflare active automatiquement la sécurité post-quantique par défaut, sans action particulière requise
    • Il reste toutefois nécessaire de mettre à niveau les composants externes, comme les navigateurs, applications et serveurs d’origine
    • Cloudflare One fournit une protection de chiffrement post-quantique de bout en bout via le tunneling

La philosophie de Cloudflare et sa politique de gratuité

  • La vie privée et la sécurité sont des éléments fondamentaux d’Internet, et toutes les mises à niveau post-quantiques seront gratuites pour tous les clients, quel que soit leur forfait
  • Comme le TLS gratuit a contribué à généraliser le chiffrement du web, le chiffrement post-quantique gratuit doit, selon Cloudflare, stimuler la sécurité de l’Internet de nouvelle génération
  • La Connectivity Cloud de Cloudflare aide à protéger les réseaux d’entreprise, à créer des applications à grande échelle, à accélérer les performances web, à se défendre contre les attaques DDoS et à mettre en œuvre le zero trust
  • Les utilisateurs peuvent profiter d’un Internet plus rapide et plus sûr via l’application 1.1.1.1
  • Fidèle à sa mission de « construire un meilleur Internet », Cloudflare entend jouer un rôle moteur dans la sécurité à l’ère post-quantique

À lire aussi

1 commentaires

 
GN⁺ 23 일 전
Avis Hacker News

  • Il serait intéressant de comparer le processus d’adoption de la cryptographie PQ (résistante aux attaques quantiques) à la diffusion passée du HTTPS
    Cloudflare est bien placé pour mener facilement cette transition, car l’entreprise peut dissocier le cycle de mise à niveau des navigateurs et terminaux utilisateurs de celui du backend
    J’imagine que cela se fera en activant PQ de façon sélective sur certains sites, puis en le rendant progressivement obligatoire, les navigateurs orientant alors les utilisateurs via des avertissements ou une incitation fondée sur l’UX
    Autrefois, je pensais que « le risque d’une mise à niveau prématurée était plus grand que le risque d’une attaque quantique », mais à la lumière des informations récentes, l’idée d’une transition rapide semble désormais préférable
    Je pense que la mise à jour des sites web sera bien plus facile que celle d’autres systèmes, notamment Bitcoin, les données stockées ou le matériel

    • Si de vraies preuves de l’existence d’ordinateurs quantiques apparaissent, les navigateurs pourraient marquer les chiffrements non-PQ comme « non sécurisés » et forcer la transition des sites web
      Ce serait peut-être faisable en 2 à 3 ans en changeant simplement les spécifications cryptographiques dans de nouvelles versions comme TLS 1.4 ou QUIC 2
      Le problème, c’est que de vieux appareils dont les mises à jour de firmware sont arrêtées risquent de ne pas prendre en charge les nouveaux protocoles, ce qui pourrait provoquer des coupures massives de connexion
    • Attendre maintenant obligera à agir dans l’urgence plus tard
      Cloudflare Radar a ajouté des statistiques de prise en charge PQ des serveurs d’origine ; c’est inférieur au niveau des navigateurs, mais meilleur que prévu
      Il reste encore beaucoup de chemin à parcourir, notamment sur les questions d’authentification
    • Parmi les systèmes plus difficiles à faire évoluer qu’un site web, il ne faut pas oublier la transition vers IPv6

  • On peut tester directement des requêtes PQ sur notre service qi.rt.ht
    Cela permet de vérifier quels domaines bénéficient d’une sécurité PQ

    • Je trouve que c’est une magnifique API

  • D’après le test TLS post-quantique de Cloudflare, news.ycombinator.com:443 utilise X25519, donc n’est pas protégé en PQ
    J’espère qu’un plan de migration existe déjà
    Grâce aux outils récents, la transition ne devrait pas être difficile. Quelqu’un sait sur quelle stack repose HN ?

    • Il est surprenant de voir que le taux de prise en charge par les navigateurs est bien meilleur que prévu

  • Mozilla a récemment mis à jour son guide de configuration TLS côté serveur et recommande l’échange de clés PQ X25519MLKEM768
    D’après la documentation officielle, le profil de compatibilité pour les anciens clients a été supprimé, ainsi que le repli pour IE11/Win7, si bien que Win10 ou plus devient désormais le minimum

  • Je me demande s’il existe réellement des cas où un système quantique a cassé un chiffrement

    • Ces deux derniers mois, l’ambiance a radicalement changé chez les cryptographes
      Avec plusieurs articles et rumeurs qui se recoupent, un consensus se forme selon lequel l’arrivée d’un véritable CRQC (ordinateur quantique capable de casser la cryptographie) serait bien plus proche que prévu
      Certains experts vont jusqu’à parler de quelque chose d’« imminent »
    • Pour l’instant, cela reste théorique
      Mais comme il existe une inquiétude selon laquelle des organismes comme la NSA pourraient disposer secrètement d’un ordinateur quantique, les chercheurs tirent la sonnette d’alarme en amont
      Attendre des preuves claires pourrait signifier qu’il est déjà trop tard
    • Cela reste encore théorique, mais un consensus émerge sur le fait qu’un système quantique réellement exploitable pour des attaques pourrait arriver plus tôt que prévu
      Filippo Valsorda, mainteneur du package cryptographique de Go, a publié un résumé dont la conclusion est : « il faut être prêt d’ici 2029 »
    • Rien n’a encore été cassé, mais si des données sont collectées aujourd’hui, elles pourront être déchiffrées plus tard à l’aide d’un ordinateur quantique ; il faut donc se préparer dès maintenant
    • La validation de la sécurité des algorithmes PQ eux-mêmes n’est pas encore totalement achevée

  • Je me demande s’il est prévu de prendre en charge une accélération matérielle du PQC dans les futurs CPU
    Si le PQC devient la norme, j’ai peur que les anciens appareils deviennent lents

    • Le PQC n’est nécessaire que pour la cryptographie asymétrique, c’est-à-dire à l’étape du handshake
      Ensuite, les chiffrements symétriques (AES, ChaCha20, etc.) sont peu affectés par le quantique et ne seront probablement pas remplacés avant un bon moment
      Les CPU grand public n’ont de toute façon pas d’accélération pour la cryptographie asymétrique, donc la différence devrait être limitée
    • En réalité, même sans accélération matérielle, on peut obtenir de bonnes performances grâce aux opérations vectorielles
      Les nouveaux algorithmes reposent pour la plupart sur de l’algèbre linéaire modulaire, ce qui laisse beaucoup de marge pour l’optimisation

  • Je me demande s’il faut remplacer dès maintenant les clés SSH par des clés PQ

    • OpenSSH prend en charge l’échange de clés PQ depuis 2022
      À partir de la version 10.1 (octobre 2025), un avertissement s’affichera si PQ n’est pas utilisé
      Il n’est pas nécessaire de générer de nouvelles clés : il suffit de mettre à niveau les logiciels des deux côtés
      En revanche, un remplacement des clés sera nécessaire lors du passage aux signatures PQ, mais ce n’est pas urgent

  • Je me demande s’il y a des inconvénients à passer aux algorithmes PQ
    Même si l’informatique quantique finissait par ne mener à rien, y aurait-il une raison de ne pas les utiliser quand même ?

    • Au contraire, les algorithmes PQ ont été encore plus rigoureusement évalués que les méthodes existantes
      Cela dit, la cryptographie à courbes elliptiques (ECC) a des clés et signatures de petite taille, donc une meilleure efficacité en bande passante, et le niveau de confiance dans sa difficulté mathématique est élevé
      À l’inverse, les algorithmes PQ sont plus simples à implémenter, ce qui réduit le risque de mauvaises implémentations vulnérables, et il est plus difficile de choisir une instance faible
      ML-DSA et ML-KEM sont stables et rapides
    • Les certificats PQ sont actuellement beaucoup plus volumineux qu’aujourd’hui
      Je ne connais pas les chiffres exacts, mais cela augmente l’espace de stockage et le volume de transfert
    • Les algorithmes PQ sont plus lents et impliquent davantage de données échangées que l’ECC actuel, mais avec un niveau de sécurité équivalent

  • Mullvad prend déjà en charge le chiffrement PQ
    Personnellement, je recommande cette entreprise, que je note 10/10

  • Une autre question me vient
    Une fois que tout le monde aura migré vers une cryptographie résistante au quantique, à quoi serviront vraiment les ordinateurs quantiques ?
    Pour l’instant, on ne parle que de cassage de chiffrement, mais pour le reste, leur usage relèvera-t-il surtout de la recherche, comme le repliement des protéines ou l’optimisation logistique ?
    Même si un ordinateur quantique à 10 millions de dollars capable de casser une clé de 256 bits en une heure voyait le jour, si tous les systèmes sont passés au PQ, ce ne serait plus qu’un outil de destruction
    Casser l’ECC n’apporte rien à l’humanité
    La question reste donc ouverte : à quoi les ordinateurs quantiques pourront-ils servir ensuite ?