Le spécialiste européen de la formation certifiante en informatique et management pour les entreprises

La cryptographie quantique n'est pas infaillible

Des tests menés par différents universitaires révèlent que la transmission de données pourrait être interceptée dans certains cas précis.

Cinq ans après être sortie des laboratoires, avec la création du premier réseau sécurisé aux Etats-Unis, la cryptographie quantique reste totalement d'actualité.

A la fin du mois de mai 2009, SmartQuantum, l'un des producteurs de cette technologie, a annoncé qu'il conduisait un projet de sécurité en collaboration avec le CNRS, Femto-ST et le CHU de Besançon.

Ce projet porte sur une solution complète de sécurisation des transmissions de données sur support optique entre deux serveurs (dans un même bâtiment), entre deux bâtiments d’une même zone (un cabinet de praticien et un hôpital, par exemple) et enfin une liaison longue distance (entre le CHU de Besançon et le centre hospitalier de Belfort-Montbéliard, par exemple).

Présentée comme l'une des technologies les plus fiables au monde, elle n'est pourtant pas infaillible. C'est la conclusion à laquelle sont arrivés des universitaires qui ont testé ces dernières années des systèmes de cryptographie quantique. Plus exactement, ce n'est pas la cryptographie quantique dont ils ont démontré la vulnérabilité, mais son implémentation.

4 % des communications espionnées : En 2008, l'équipe de chercheurs dirigée par Hoi-Kwong Lo de l'université de Toronto, au Canada, était parvenue pour la première fois à modifier un système de cryptage quantique commercial ID-500 vendu par ID Quantique, le leader mondial dans ce domaine.

La faille était minime puisqu'elle était de quelques picosecondes, soit le temps de retard à l'allumage des deux détecteurs de photons utilisés pour recevoir la clé quantique. Un laps de temps très court mais suffisant pour rendre le système un peu moins sûr : Hoi-Kwong Lo avait été capable d'espionner 4 % environ des communications « sécurisées ».

« Ce système ID-500 est destiné à une clientèle de chercheurs. Il s'agit d'une version simplifiée et elle est complètement paramétrable. Les travaux du professeur Lo sont intéressants mais n'ont qu'une faible valeur pratique », nous a répondu Grégoire Ribordy, CEO d'ID Quantique.

L'année dernière toujours, c'était au tour de Vadim Makarov, du Quantum Hacking Group de l'université des sciences et technologies de Norvège, de démontrer qu'il était possible d'intercepter, sans laisser de traces, les messages échangés par des systèmes quantiques généralement utilisés.

Là aussi, ID Quantique précise qu'il s'agissait de « prototypes académiques ». « Vadim Makarov avait fait des tests d'une technique appelée cryptographie quantique sur canal aérien. Les données ne passaient pas par la fibre optique », indique Grégoire Ribordy.

Mais pour Eric Filiol, directeur du laboratoire de virologie et de cryptologie opérationnelles à l'ESIEA, « ces travaux d'universitaires sont très intéressants car ils prouvent que rien n'est impossible. C'est juste une question de motivation et d'inventivité. La réussite de ces scientifiques est d'être parvenus à prouver opérationnellement qu'il était possible de lire des données sans laisser de trace ce qui justement est soit disant impossible. Le principe même de ce système est de dire que toute “écoute” par l'attaquant sera détectée. Si ce principe théorique reste valide, ils ont montré que toute implémentation sera probablement faillible. »

Des photons dans l'air : Un avis partagé par les entreprises qui vendent ce genre de solution (dont la suisse ID Quantique et la française SmartQuantum). « Une bonne implémentation consiste à vérifier que l'émetteur et le récepteur sont suffisamment proches du modèle théorique pour qu'en pratique il n'existe pas de faille. Il faut se demander ce qu'on va utiliser comme équipement pour produire les photons. Est-ce qu'on utilise un ou plusieurs photons ? Y a-t-il des risques d'attaques au niveau de la station réceptrice ?... », rappelle Grégoire Ribordy.

Un tel système ne peut être sûr que dans un contexte précis. « S'il est placé dans la rue pour sécuriser une communication entre un distributeur de billets et une banque, il ne sera pas sûr car il n'a pas été conçu pour être installé dans ce genre d'environnement. Nos systèmes sont sûrs dans un environnement “data center” dans lequel seules des personnes autorisées peuvent accéder », précise Grégoire Ribordy.

Les attaques restent toujours d'actualité et pourraient se multiplier avec la commercialisation assez récente de ces systèmes. Deux boîtiers chargés d'assurer la transmission, via une fibre optique, coûtent environ 60 000 euros.

Une clé secrète : Dans la cryptographie quantique, les communications passent par des photons uniques qui sont envoyés depuis une station. Ces photons sont transportés par une fibre optique et ensuite reçus par une autre station. Un processus va ensuite produire une clé de chiffrement.
C'est le principe même de cette solution. A envoie à B un message crypté grâce une clé secrète. B va l'utiliser pour déchiffrer le message. Si un espion intercepte le message codé il a besoin de la clé pour en déduire le message original.
Toute la difficulté est donc dans la transmission de la clé entre A et B. Dans ce cas, la sécurité repose sur les lois de la physique quantique. Si un espion intercepte la clé, A et B le savent immédiatement et changent de clé. .(Source 01 Net)