SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
27 octobre 2021 27 oktober 2021
________________
Question écrite n° 7-1391 Schriftelijke vraag nr. 7-1391

de Rik Daems (Open Vld)
van Rik Daems (Open Vld)

au vice-premier ministre et ministre de la Justice et de la Mer du Nord
aan de vice-eersteminister en minister van Justitie en Noordzee
________________
Cryptographie - Ordinateurs quantiques - Vie privée - Espionnage - Chiffres et tendances Cryptografie - Quantumcomputers - Privacy - Spionage - Cijfers en tendensen 
________________
cryptographie
protection des données
protection de la vie privée
ordinateur
sécurité des systèmes d'information
 codering van informatie
gegevensbescherming
eerbiediging van het privé-leven
computer
informatiebeveiliging
________ ________
27/10/2021Verzending vraag
(Einde van de antwoordtermijn: 25/11/2021)
15/12/2021Antwoord
27/10/2021Verzending vraag
(Einde van de antwoordtermijn: 25/11/2021)
15/12/2021Antwoord
________ ________
Aussi posée à : question écrite 7-1392 Aussi posée à : question écrite 7-1392
________ ________
Question n° 7-1391 du 27 octobre 2021 : (Question posée en néerlandais) Vraag nr. 7-1391 d.d. 27 oktober 2021 : (Vraag gesteld in het Nederlands)

Il ressort d'une brochure récente de l'AIVD, le service néerlandais des renseignements généraux et de la sécurité, que l'arrivée des ordinateurs quantiques représente une menace pour notre vie privée (https://www.aivd.nl/documenten/publicaties/2021/09/23/bereid je voor op de dreiging van quantumcomputers).

Depuis des décennies déjà, on sait qu'il sera possible d'exploiter les connaissances issues de la mécanique quantique pour attaquer, au moyen d'un ordinateur quantique, la cryptographie asymétrique qui est la plus couramment utilisée. Les ordinateurs quantiques seraient capables de déchiffrer tous les fichiers cryptés possibles et imaginables.

Selon les experts, il y a un risque, certes faible mais réel, qu'en 2030, les ordinateurs quantiques seront suffisamment puissants pour craquer les normes cryptographiques actuelles. Mais le danger est déjà bien présent. En effet, les données que l'on crypte, que l'on transmet ou que l'on stocke aujourd'hui peuvent être interceptées et pourront être déchiffrées demain par un ordinateur quantique. Il faut donc commencer dès maintenant à crypter les données qui seront toujours sensibles et confidentielles en 2030 afin de protéger celles-ci contre les attaques d'un ordinateur quantique.

Le Bureau national néerlandais pour la protection des connexions (NBV) recommande dès lors l'utilisation de la cryptographie post-quantique (PQC) en combinaison avec un algorithme asymétrique existant (construction hybride). Il y voit un moyen de protection efficace contre les attaques des ordinateurs quantiques. Aux États-Unis, l'Institut national des normes et de la technologie (NIST) a lancé dès 2016 une procédure ouverte en vue de l'élaboration de normes internationales. Ces normes sont attendues aux alentours de 2024.

Outre la technologie PQC, le NBV recommande d'autres méthodes de cryptage : la cryptographie symétrique et la distribution quantique de clé (QKD).

La cryptographie symétrique (comme AES) permet de rendre les informations moins vulnérables face aux attaques d'un ordinateur quantique. La distribution quantique de clé (QKD) échange des clés numériques au moyen de techniques issues de la mécanique quantique. Cette méthode d'échange de clés permet de détecter systématiquement toute écoute par un tiers.

Si l'on veut migrer vers un dispositif offrant une protection contre les ordinateurs quantiques, on ne doit pas le faire trop tôt car cela risque de coûter beaucoup de temps et d'argent. Mais il ne faut pas trop tarder non plus au vu du risque auquel les données sensibles sont exposées. C'est pourquoi le NBV recommande d'élaborer dès maintenant une stratégie de migration.

En ce qui concerne le caractère transversal de la présente question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais dès lors poser les questions suivantes au ministre :

1) Dans quelle mesure les données sensibles cryptées des services publics sont-elles protégées pour le futur? A-t-on conscience du danger que représentent les ordinateurs quantiques à moyen terme ? Si oui, quelles mesures ont déjà été prises ? Si non, pourquoi ?

2) A-t-on déjà une idée de la menace que l'informatique quantique pourrait faire peser sur notre sécurité ? Des mesures ont-elles déjà été prises pour renforcer le cryptage des données sensibles ?

3) D'après les estimations, combien de documents et de fichiers des pouvoirs publics seraient vulnérables en l'absence de migration vers un dispositif de cryptage qui soit à l'épreuve des ordinateurs quantiques ?

4) La sécurisation des canaux de communication sensibles par des niveaux de protection supplémentaires est-elle une priorité? Pourquoi oui/non ? Pensez-vous que le système de protection actuel sera encore opérationnel après cinq ans ? Et qu'en sera-t-il après dix ans ?

5) Est-il prévu de renforcer la sécurité TIC pour des cibles stratégiquement sensibles (centrales nucléaires, hôpitaux, universités, trains, etc.) dans le cadre des évolutions à venir ?

6) Comment peut-on informer les citoyens à ce sujet ? Que peuvent-ils faire eux-mêmes pour mieux se protéger dans ce domaine ?

7) Les services compétents ont-ils élaboré une stratégie de migration pour les fichiers, comme c'est le cas aux Pays-Bas ? Si oui, quelle est cette stratégie ? Quelles directives seront appliquées à cet égard ? Comment procédera-t-on ? Des budgets ont-ils été prévus? Quels sont les documents et les services qui bénéficieront de la priorité en termes de cryptage au sein des pouvoirs publics et des services de sécurité? Si ce n'est pas le cas, pourquoi ?

 

Uit een recente brochure van de Nederlandse AIVD blijkt dat er in de toekomst een gevaar bestaat voor onze privacy door de komst van quantumcomputers (https://www.aivd.nl/documenten/publicaties/2021/09/23/bereid-je-voor-op-de-dreiging-van-quantumcomputers).

Al tientallen jaren is bekend dat inzichten uit de quantummechanica gebruikt kunnen worden om de meest gebruikte asymmetrische cryptografie aan te vallen met een quantumcomputer. Deze computers zouden alle mogelijke bestaande versleutelde bestanden kunnen ontcijferen.

Experts achten de kans klein maar reëel dat quantumcomputers in 2030 al krachtig genoeg zullen zijn om de huidige cryptografische standaarden te breken. Tot die tijd zijn er ook risico's voor de huidige cryptografie. De data die je nu versleutelt, verstuurt of opslaat, kunnen onderschept worden en later met een quantumcomputer ontcijferd worden. Gegevens die in 2030 nog steeds gevoelig zijn en geheim moeten blijven, moeten daarom nu al versleuteld worden met cryptografie die beschermt tegen aanvallen met een quantumcomputer.

Het Nederlands Nationaal Bureau voor Verbindingsbeveiliging (NBV) adviseert daarom het gebruik van Post-Quantum Cryptografie (PQC) in combinatie met een bestaand asymmetrisch algoritme (hybride constructie). Zij zien het als een goede manier om je te beveiligen tegen aanvallen door quantumcomputers. Het National Institute of Standards and Technology (NIST) van de VS is al in 2016 begonnen met een open proces om internationale standaarden te krijgen. Deze standaarden worden rond 2024 verwacht.

Naast de PQC-technologie raadt het NBV alternatieve encryptiemethodes aan: Symmetrische cryptografie en Quantum Key Distribution (QKD).

Met symmetrische cryptografie (zoals AES) is je informatie minder kwetsbaar voor aanvallen met een quantumcomputer. Quantum Key Distribution (QKD) wisselt digitale sleutels uit met technieken uit de quantummechanica. Bij deze manier van sleuteluitwisseling wordt het meeluisteren door een derde partij altijd gesignaleerd.

Te vroeg overgaan naar een quantumveilige oplossing kan veel tijd en geld kosten. Maar te laat is ook geen optie door het risico dat je gevoelige informatie kwetsbaar is. Daarom adviseert het NBV om nu alvast een migratiestrategie uit te werken.

Wat betreft transversaal karakter: De verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota integrale veiligheid en het nationaal veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een interministeriële conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale Gewestaangelegenheid waarbij de rol van de gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) In hoeverre zijn de gevoelige versleutelde data van de overheidsdiensten future-proof beveiligd? Is men zich bewust van het gevaar van quantumcomputers op middellange termijn? Zo ja, welke maatregelen heeft men reeds hiertegen genomen? Zo nee, waarom niet?

2) Heeft men reeds kennis genomen van de mogelijke dreiging die quantumcomputing met zich meebrengt voor onze veiligheid? Zijn er al stappen gezet om gevoelige data extra te versleutelen?

3) Hoeveel documenten en bestanden van de overheid verwacht zullen kwetsbaar worden indien men niet overschakelt naar quantum-proof versleuteling?

4) Is het een prioriteit om gevoelige communicatiekanalen te beveiligen met extra beveiligingslagen? Waarom wel/niet? Verwacht u dat de huidige beveiliging nog bruikbaar zal zijn na vijf jaar? Wat na tien jaar?

5) Zijn er plannen om de ICT-beveiliging te verhogen bij strategisch gevoelige doelwitten (kerncentrales, ziekenhuizen, universiteiten, treinen etc.) in het kader van deze toekomstige ontwikkelingen?

6) Hoe kan men de burgers hierover informeren? Wat kunnen de mensen zelf doen om zich beter te beveiligen hieromtrent?

7) Hebben de bevoegde diensten een migratiestrategie voor de bestanden uitgewerkt zoals in Nederland? Zo ja, welke strategie is dit? Volgens welke richtlijnen zal men werken? Hoe zal men dit doen? Zijn er budgetten voor voorzien? Welke documenten en diensten van de overheid en de veiligheidsdiensten zullen voorrang krijgen om versleuteld te worden? Zo nee, waarom niet?

 
Réponse reçue le 15 décembre 2021 : Antwoord ontvangen op 15 december 2021 :

La VSSE est informée des défis qui se présenteront avec l’avènement des ordinateurs quantiques. D’après nos informations, l’informatique quantique est encore à un stade expérimental. La publication à laquelle Monsieur Daems se réfère précise que, selon les experts, il y a un risque, certes faible mais réel, qu’en 2030, les ordinateurs quantiques soient suffisamment puissants pour craquer les normes cryptographiques actuelles. Un certain nombre de laboratoires affirment fournir des preuves de concept (proofs of concept) dans des systèmes expérimentaux et avoir effectué des calculs au moyen de l’informatique quantique. Les défis techniques permettant de hisser ces systèmes expérimentaux à un niveau suffisamment élevé (de quelques dizaines de qubits jusqu’à des milliers de qubits) et de les transformer en un ordinateur utilisable sont toutefois encore considérables. Au niveau mondial, d’importants moyens sont investis dans le développement de l’informatique quantique et il est donc tout à fait possible que ces problèmes techniques trouvent une solution.

Vu que l’on ne sait pas encore exactement quelles seront les capacités effectives des ordinateurs quantiques ni comment ceux-ci pourront être utilisés, leur impact sur le plan de la sécurité est difficile à évaluer déjà à ce stade. Il semble toutefois qu’il y ait un consensus sur le fait que les normes cryptographiques actuelles ne suffiront plus dans une ère post-quantique. La sécurité des systèmes et réseaux informatiques devra donc être revue.

La sécurité des réseaux n’est pas une mission-clé de la VSSE. Le service suivra toutefois l’évolution de l’informatique quantique et évaluera quel sera l’impact de cette technologie sur les menaces dont la VSSE assure le suivi. Compte tenu de la nature de la technologie, il ne semble pas que l’informatique quantique se muera rapidement en commodité comme les smartphones, les tablettes et les ordinateurs classiques (puissants). Lorsque les ordinateurs quantiques pourront être utilisés concrètement, nous nous attendons, dans un premier temps, à une transformation dans l’espionnage d’acteurs étatiques.

En guise de réponse aux autres points de la question, je vous renvoie à l’expertise:

du Centre pour la cybersécurité Belgique (CCB), l’autorité nationale en charge de la cybersécurité en Belgique, qui relève de la compétence de mon collègue, le premier ministre;

du Centre de crise national (NCCN), compétent pour la sécurité de l’infrastructure critique, qui relève de la compétence de ma collègue, la ministre de l’Intérieur, à qui cette question a également été posée.

De VSSE is op de hoogte van de uitdagingen die zullen ontstaan wanneer bruikbare quantumcomputers beschikbaar zullen worden. Volgens onze informatie bevindt quantum computing zich nog in een experimenteel stadium. De publicatie waar de heer Daems naar verwijst geeft aan dat experten de kans klein maar reëel achten dat quantumcomputers in 2030 al krachtig genoeg zullen zijn om de huidige cryptografische standaarden te breken. Een aantal labo’s claimen in experimentele opstellingen proof of concepts te leveren en door middel van quantum computing berekeningen te hebben uitgevoerd. De technische uitdagingen om die experimentele opstellingen op te schalen naar een voldoende hoog niveau (van enkele tientallen qubits tot duizenden qubits) en uit te werken tot een bruikbare computer zijn echter nog enorm. Maar wereldwijd worden er veel middelen geïnvesteerd in de ontwikkeling van quantum computing en is het dus zeker mogelijk dat er oplossingen zullen gevonden worden voor die technische problemen.

Aangezien het nog niet duidelijk is wat de effectieve capaciteiten zullen zijn van quantumcomputers en hoe die gebruikt zullen kunnen worden, is het moeilijk om nu reeds in te schatten wat de impact ervan zal zijn op de veiligheidssituatie. Er lijkt wel consensus te bestaan dat de huidige cryptografische standaarden niet meer zullen voldoen in een post-quantum tijdperk. De veiligheid van computersystemen en informaticanetwerken zal dus moeten herbekeken worden.

Netwerkveiligheid is geen kernopdracht van de VSSE. Maar de dienst zal wel de evolutie van quantum computing opvolgen en evalueren wat de impact van deze technologie zal zijn op de bedreigingen die de VSSE opvolgt. Gezien de aard van de technologie lijkt het niet dat quantum computing vlug een commodity zal worden zoals smartphones, tablets en klassieke (krachtige) computers. Wanneer quantumcomputers praktisch inzetbaar zullen worden, verwachten we in eerste instantie een transformatie bij state actor spionage.

In antwoord op de andere vragen verwijs ik u naar de expertise van:

– het Centrum voor cybersecurity België (CCB), de nationale autoriteit voor cyberveiligheid in België, deze valt onder de bevoegdheid van mijn collega, de eerste minister;

– het Nationaal Crisiscentrum (NCCN), bevoegd voor de veiligheid van de kritieke infrastructuur, deze staat onder de bevoegdheid van mijn collega, de minister van Binnenlandse Zaken, aan wie deze vraag ook werd gesteld.