SÉNAT DE BELGIQUE
________
Session 2021-2022
________
27 octobre 2021
________
SÉNAT Question écrite n° 7-1391

de Rik Daems (Open Vld)

au vice-premier ministre et ministre de la Justice et de la Mer du Nord
________
Cryptographie - Ordinateurs quantiques - Vie privée - Espionnage - Chiffres et tendances
________
cryptographie
protection des données
protection de la vie privée
ordinateur
sécurité des systèmes d'information
________
27/10/2021 Envoi question
15/12/2021 Réponse
________
Aussi posée à : question écrite 7-1392
________
SÉNAT Question écrite n° 7-1391 du 27 octobre 2021 : (Question posée en néerlandais)

Il ressort d'une brochure récente de l'AIVD, le service néerlandais des renseignements généraux et de la sécurité, que l'arrivée des ordinateurs quantiques représente une menace pour notre vie privée (https://www.aivd.nl/documenten/publicaties/2021/09/23/bereid je voor op de dreiging van quantumcomputers).

Depuis des décennies déjà, on sait qu'il sera possible d'exploiter les connaissances issues de la mécanique quantique pour attaquer, au moyen d'un ordinateur quantique, la cryptographie asymétrique qui est la plus couramment utilisée. Les ordinateurs quantiques seraient capables de déchiffrer tous les fichiers cryptés possibles et imaginables.

Selon les experts, il y a un risque, certes faible mais réel, qu'en 2030, les ordinateurs quantiques seront suffisamment puissants pour craquer les normes cryptographiques actuelles. Mais le danger est déjà bien présent. En effet, les données que l'on crypte, que l'on transmet ou que l'on stocke aujourd'hui peuvent être interceptées et pourront être déchiffrées demain par un ordinateur quantique. Il faut donc commencer dès maintenant à crypter les données qui seront toujours sensibles et confidentielles en 2030 afin de protéger celles-ci contre les attaques d'un ordinateur quantique.

Le Bureau national néerlandais pour la protection des connexions (NBV) recommande dès lors l'utilisation de la cryptographie post-quantique (PQC) en combinaison avec un algorithme asymétrique existant (construction hybride). Il y voit un moyen de protection efficace contre les attaques des ordinateurs quantiques. Aux États-Unis, l'Institut national des normes et de la technologie (NIST) a lancé dès 2016 une procédure ouverte en vue de l'élaboration de normes internationales. Ces normes sont attendues aux alentours de 2024.

Outre la technologie PQC, le NBV recommande d'autres méthodes de cryptage : la cryptographie symétrique et la distribution quantique de clé (QKD).

La cryptographie symétrique (comme AES) permet de rendre les informations moins vulnérables face aux attaques d'un ordinateur quantique. La distribution quantique de clé (QKD) échange des clés numériques au moyen de techniques issues de la mécanique quantique. Cette méthode d'échange de clés permet de détecter systématiquement toute écoute par un tiers.

Si l'on veut migrer vers un dispositif offrant une protection contre les ordinateurs quantiques, on ne doit pas le faire trop tôt car cela risque de coûter beaucoup de temps et d'argent. Mais il ne faut pas trop tarder non plus au vu du risque auquel les données sensibles sont exposées. C'est pourquoi le NBV recommande d'élaborer dès maintenant une stratégie de migration.

En ce qui concerne le caractère transversal de la présente question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais dès lors poser les questions suivantes au ministre :

1) Dans quelle mesure les données sensibles cryptées des services publics sont-elles protégées pour le futur? A-t-on conscience du danger que représentent les ordinateurs quantiques à moyen terme ? Si oui, quelles mesures ont déjà été prises ? Si non, pourquoi ?

2) A-t-on déjà une idée de la menace que l'informatique quantique pourrait faire peser sur notre sécurité ? Des mesures ont-elles déjà été prises pour renforcer le cryptage des données sensibles ?

3) D'après les estimations, combien de documents et de fichiers des pouvoirs publics seraient vulnérables en l'absence de migration vers un dispositif de cryptage qui soit à l'épreuve des ordinateurs quantiques ?

4) La sécurisation des canaux de communication sensibles par des niveaux de protection supplémentaires est-elle une priorité? Pourquoi oui/non ? Pensez-vous que le système de protection actuel sera encore opérationnel après cinq ans ? Et qu'en sera-t-il après dix ans ?

5) Est-il prévu de renforcer la sécurité TIC pour des cibles stratégiquement sensibles (centrales nucléaires, hôpitaux, universités, trains, etc.) dans le cadre des évolutions à venir ?

6) Comment peut-on informer les citoyens à ce sujet ? Que peuvent-ils faire eux-mêmes pour mieux se protéger dans ce domaine ?

7) Les services compétents ont-ils élaboré une stratégie de migration pour les fichiers, comme c'est le cas aux Pays-Bas ? Si oui, quelle est cette stratégie ? Quelles directives seront appliquées à cet égard ? Comment procédera-t-on ? Des budgets ont-ils été prévus? Quels sont les documents et les services qui bénéficieront de la priorité en termes de cryptage au sein des pouvoirs publics et des services de sécurité? Si ce n'est pas le cas, pourquoi ?

Réponse reçue le 15 décembre 2021 :

La VSSE est informée des défis qui se présenteront avec l’avènement des ordinateurs quantiques. D’après nos informations, l’informatique quantique est encore à un stade expérimental. La publication à laquelle Monsieur Daems se réfère précise que, selon les experts, il y a un risque, certes faible mais réel, qu’en 2030, les ordinateurs quantiques soient suffisamment puissants pour craquer les normes cryptographiques actuelles. Un certain nombre de laboratoires affirment fournir des preuves de concept (proofs of concept) dans des systèmes expérimentaux et avoir effectué des calculs au moyen de l’informatique quantique. Les défis techniques permettant de hisser ces systèmes expérimentaux à un niveau suffisamment élevé (de quelques dizaines de qubits jusqu’à des milliers de qubits) et de les transformer en un ordinateur utilisable sont toutefois encore considérables. Au niveau mondial, d’importants moyens sont investis dans le développement de l’informatique quantique et il est donc tout à fait possible que ces problèmes techniques trouvent une solution.

Vu que l’on ne sait pas encore exactement quelles seront les capacités effectives des ordinateurs quantiques ni comment ceux-ci pourront être utilisés, leur impact sur le plan de la sécurité est difficile à évaluer déjà à ce stade. Il semble toutefois qu’il y ait un consensus sur le fait que les normes cryptographiques actuelles ne suffiront plus dans une ère post-quantique. La sécurité des systèmes et réseaux informatiques devra donc être revue.

La sécurité des réseaux n’est pas une mission-clé de la VSSE. Le service suivra toutefois l’évolution de l’informatique quantique et évaluera quel sera l’impact de cette technologie sur les menaces dont la VSSE assure le suivi. Compte tenu de la nature de la technologie, il ne semble pas que l’informatique quantique se muera rapidement en commodité comme les smartphones, les tablettes et les ordinateurs classiques (puissants). Lorsque les ordinateurs quantiques pourront être utilisés concrètement, nous nous attendons, dans un premier temps, à une transformation dans l’espionnage d’acteurs étatiques.

En guise de réponse aux autres points de la question, je vous renvoie à l’expertise:

du Centre pour la cybersécurité Belgique (CCB), l’autorité nationale en charge de la cybersécurité en Belgique, qui relève de la compétence de mon collègue, le premier ministre;

du Centre de crise national (NCCN), compétent pour la sécurité de l’infrastructure critique, qui relève de la compétence de ma collègue, la ministre de l’Intérieur, à qui cette question a également été posée.