PKI post-quantique : préparer l'infrastructure de confiance

L'infrastructure à clés publiques, ou PKI, constitue le socle invisible de la confiance numérique. Chaque connexion TLS à un site web, chaque signature de code logiciel, chaque échange de courrier électronique signé, chaque authentification par certificat repose sur ce même fondement : une hiérarchie d'autorités de certification qui garantissent l'identité des parties et l'intégrité des échanges. Aujourd'hui, cette infrastructure protège des milliards de transactions quotidiennes. Demain, elle devra résister à une menace pour laquelle elle n'a pas été conçue : l'ordinateur quantique.

Pourquoi la PKI actuelle est vulnérable

Les certificats numériques qui alimentent la PKI mondiale reposent quasi exclusivement sur deux familles d'algorithmes de signature : RSA et ECDSA. Ces algorithmes tirent leur sécurité de problèmes mathématiques considérés comme difficiles pour les ordinateurs classiques — la factorisation de grands entiers pour RSA, le logarithme discret sur courbes elliptiques pour ECDSA. Or, l'algorithme de Shor, exécuté sur un ordinateur quantique suffisamment puissant, résout ces deux problèmes en temps polynomial. Cela signifie qu'un attaquant disposant d'un tel ordinateur pourrait forger des certificats, usurper l'identité de n'importe quelle autorité de certification et compromettre l'ensemble de la chaîne de confiance. La conséquence est vertigineuse : la totalité des connexions TLS, des signatures numériques et des mécanismes d'authentification basés sur la PKI classique deviendraient vulnérables.

Les algorithmes de signature post-quantiques

Pour répondre à cette menace, le NIST a finalisé en août 2024 deux standards de signature numérique post-quantique. ML-DSA (FIPS 204), basé sur les réseaux euclidiens (module lattices), offre des performances élevées avec des tailles de signatures et de clés raisonnables. Il est destiné à devenir le remplaçant principal de RSA et ECDSA dans la plupart des cas d'usage PKI. SLH-DSA (FIPS 205), basé exclusivement sur les fonctions de hachage, adopte une approche différente : il ne repose sur aucune hypothèse structurelle complexe, ce qui le rend particulièrement résilient, mais au prix de signatures plus volumineuses. SLH-DSA est recommandé comme solution de repli ou pour les environnements où la diversité algorithmique est une exigence de sécurité.

Certificats hybrides : la transition en douceur

La migration d'une PKI mondiale ne peut pas se faire du jour au lendemain. C'est pourquoi la communauté technique développe le concept de certificats hybrides, qui combinent une signature classique (RSA ou ECDSA) et une signature post-quantique (ML-DSA ou SLH-DSA) dans un même certificat X.509. Cette approche garantit la rétrocompatibilité : les systèmes qui ne supportent pas encore les algorithmes post-quantiques peuvent vérifier la signature classique, tandis que les systèmes mis à jour vérifient également la signature post-quantique. L'ANSSI et le BSI allemand recommandent explicitement cette stratégie hybride comme la voie la plus prudente vers la migration complète.

Les défis à surmonter

La transition vers une PKI post-quantique soulève des défis techniques considérables. Le premier est la taille des certificats. Un certificat ML-DSA de niveau 3 produit des signatures d'environ 3 300 octets et des clés publiques de 1 900 octets, contre 256 octets pour une signature ECDSA P-256. Cette augmentation a un impact direct sur les protocoles de handshake TLS, sur les chaînes de certificats et sur les systèmes embarqués à ressources limitées. Le second défi concerne les performances : bien que ML-DSA soit rapide en vérification, la taille accrue des données échangées lors de l'établissement des connexions augmente la latence, en particulier sur les réseaux à faible bande passante. Enfin, la migration des autorités de certification elles-mêmes représente un chantier immense : les racines de confiance doivent être regénérées, les magasins de certificats des systèmes d'exploitation et des navigateurs doivent être mis à jour, et les procédures d'audit et de conformité doivent être adaptées aux nouveaux algorithmes.

Feuille de route : ce que les organisations doivent faire maintenant

Les organisations qui souhaitent anticiper la migration PKI post-quantique doivent agir dès maintenant, même si le risque quantique opérationnel est encore à l'horizon 2030-2035. La première étape consiste à réaliser un inventaire cryptographique complet de tous les certificats, autorités de certification internes et protocoles utilisant des signatures RSA ou ECDSA. La deuxième étape est d'évaluer les dépendances logicielles et matérielles : bibliothèques TLS, modules HSM, systèmes embarqués, applications legacy. La troisième étape est de lancer des pilotes hybrides sur des environnements non critiques pour mesurer l'impact sur les performances et la compatibilité. Enfin, les organisations doivent suivre de près les travaux de normalisation de l'IETF sur les certificats hybrides X.509 et les mises à jour des standards TLS 1.3 pour intégrer les algorithmes post-quantiques.

La PKI est le pilier silencieux de l'économie numérique. Sa migration vers le post-quantique ne sera ni simple ni rapide, mais elle est inévitable. Les organisations qui commencent à s'y préparer dès aujourd'hui disposeront d'un avantage décisif : celui du temps.