La menace quantique : pourquoi agir maintenant

Le calcul quantique n'est plus une curiosité de laboratoire. En décembre 2024, Google a dévoilé Willow, un processeur de 105 qubits qui a résolu en moins de cinq minutes un problème qu'un supercalculateur classique mettrait dix mille milliards d'années à traiter. Quelques mois plus tard, en 2025, IBM a présenté Nighthawk, une puce de 120 qubits intégrée dans un système modulaire conçu pour aller bien au-delà. Ces progrès ne sont pas des phénomènes isolés. Ils s'inscrivent dans une courbe d'accélération technologique qui redessine le paysage de la sécurité informatique mondiale.

L'algorithme de Shor et la fin de la cryptographie classique

La cryptographie à clé publique, telle que nous la connaissons depuis les années 1970, repose sur la difficulté mathématique de certains problèmes pour les ordinateurs classiques. RSA s'appuie sur la factorisation de grands nombres entiers, tandis que les schémas basés sur les courbes elliptiques comme ECDH et ECDSA exploitent le problème du logarithme discret. Ces problèmes sont considérés comme insolubles pour les machines classiques, même les plus puissantes, lorsqu'on utilise des tailles de clés suffisantes.

L'algorithme de Shor, publié en 1994 par le mathématicien Peter Shor, change radicalement cette donne. Cet algorithme quantique permet de factoriser des nombres entiers et de résoudre le logarithme discret en temps polynomial, c'est-à-dire dans un délai raisonnable même pour les clés les plus longues. Concrètement, un ordinateur quantique suffisamment puissant pourrait casser RSA-2048, ECDH-256 et ECDSA en quelques heures, rendant obsolète la quasi-totalité des infrastructures de chiffrement déployées dans le monde.

Un horizon plus proche qu'on ne le pense

La communauté scientifique estime que l'arrivée d'un ordinateur quantique cryptographiquement pertinent, appelé CRQC (Cryptographically Relevant Quantum Computer), se situe entre 2030 et 2035. Ces estimations, autrefois jugées conservatrices, se révèlent désormais optimistes pour certains chercheurs. En mai 2025, un chercheur de Google a démontré qu'il suffirait de moins d'un million de qubits pour casser RSA-2048, alors que les estimations de 2021 situaient ce seuil à vingt millions de qubits. Cette réduction de plus de 95 % du nombre de qubits nécessaires illustre la vitesse à laquelle les barrières tombent.

Ces avancées ne doivent pas être analysées de manière isolée. Les progrès dans la correction d'erreurs quantiques, le coût décroissant des systèmes cryogéniques et l'investissement massif des États dans la recherche quantique convergent vers un même point : la menace se rapproche plus vite que prévu.

Harvest Now, Decrypt Later : la menace d'aujourd'hui

L'erreur la plus dangereuse serait de croire que la menace quantique est un problème futur. Elle est déjà actuelle, et elle porte un nom : Harvest Now, Decrypt Later (HNDL), parfois appelée Store Now, Decrypt Later (SNDL). Cette stratégie, documentée par de nombreuses agences de renseignement, consiste à intercepter et stocker dès aujourd'hui des communications chiffrées classiquement, dans l'attente de pouvoir les déchiffrer une fois qu'un ordinateur quantique sera disponible.

Pour les données dont la durée de confidentialité dépasse dix ans, ce que l'on appelle la « fenêtre de vulnérabilité » est déjà ouverte. Les secrets d'État, les données médicales, les plans de défense, les transactions financières sensibles, la propriété intellectuelle stratégique : toutes ces informations, si elles sont chiffrées aujourd'hui avec des algorithmes vulnérables, pourront être lues demain. Les gouvernements, les acteurs de la défense, le secteur financier, la santé et les opérateurs d'infrastructures critiques sont en première ligne de cette menace silencieuse.

Les réponses réglementaires s'accélèrent

Face à cette réalité, les autorités de normalisation et les régulateurs ont commencé à agir. En août 2024, le NIST américain a publié les trois premiers standards post-quantiques : FIPS 203 (ML-KEM, mécanisme d'encapsulation de clés), FIPS 204 (ML-DSA, signature numérique) et FIPS 205 (SLH-DSA, signature basée sur les hash). Ces publications marquent le passage de la recherche théorique à la standardisation industrielle. Les algorithmes sont désormais disponibles, testés et prêts à être intégrés dans les produits de sécurité.

L'Union européenne a publié en 2024 sa feuille de route PQC, recommandant à tous les États membres de débuter leur migration cryptographique avant la fin de l'année 2026 et de finaliser la transition des systèmes à haut risque d'ici 2030. En France, l'ANSSI a annoncé qu'à partir de 2027, aucun produit de sécurité ne pourra obtenir de visa de sécurité sans intégrer des mécanismes post-quantiques. Cette échéance, désormais inscrite dans le cadre réglementaire français, transforme ce qui était une recommandation technique en obligation de marché.

La migration commence maintenant

Attendre l'arrivée effective des ordinateurs quantiques pour commencer la migration serait une erreur stratégique majeure. La migration cryptographique est un processus long et complexe. Elle implique un inventaire exhaustif des actifs cryptographiques, une évaluation des risques par type de donnée, la sélection d'algorithmes post-quantiques adaptés à chaque cas d'usage, l'intégration dans les systèmes existants, la validation des performances et l'obtention des certifications nécessaires.

L'expérience montre que les transitions cryptographiques à grande échelle prennent entre cinq et dix ans. Le passage de SHA-1 à SHA-256, ou la migration de TLS 1.0 vers TLS 1.3, ont chacun nécessité près d'une décennie. La transition post-quantique sera plus complexe encore, car elle touche non seulement les protocoles de transport, mais aussi l'échange de clés, les signatures numériques, les certificats, les VPN, les systèmes de paiement et les infrastructures de confiance dans leur ensemble.

Les organisations qui commencent dès maintenant leur préparation auront le temps de tester les algorithmes en mode hybride, c'est-à-dire en combinant un algorithme classique et un algorithme post-quantique pour garantir la sécurité même si l'un des deux se révèle vulnérable. Cette approche, recommandée par l'ANSSI et le BSI allemand, permet une transition progressive sans rupture de service. Celles qui attendront se retrouveront face à un mur : migrer dans l'urgence, avec les risques d'erreur que cela comporte, tout en étant potentiellement exposées aux attaques HNDL pendant la durée de la transition.

La menace quantique n'est pas une question de « si », mais de « quand ». Et dans le domaine de la cryptographie, la seule stratégie viable consiste à anticiper.