FRnOG 38 - Rémi de La Vieuville (Alice & Bob), Paul Chammas (QuRISK), Philippe Langlois (P1 Security), Thierry Lelégard (SiPearl) : Table-ronde - Quantique, comment ca marche et quels effets sur le chiffrement actuel ?
#FRnOG #QSC #PQC #cybersecurity #SSI #network #TLS #quantique
#FRnOG #QSC #PQC #cybersecurity #SSI #network #TLS #quantique
Category
🤖
TechnologieTranscription
00:00 Est-ce qu'on m'entend ?
00:01 Oui.
00:02 Bonjour à tous.
00:03 Moi, je suis Rémi de la Vieuville et je travaille chez Alice & Bob.
00:08 C'est une des start-up françaises qui cherche à fabriquer un ordinateur
00:12 quantique.
00:13 Je suis là un peu aujourd'hui pour représenter la menace quantique.
00:17 Bonjour, je suis Thierry Legard, je travaille chez Cyperl.
00:23 Cyperl, c'est une société qui fait du processeur pour supercalculateur
00:28 et ensuite le data center.
00:29 Il fait partie d'un projet européen qui vise à redonner de la souveraineté
00:33 dans le processeur haut de gamme en Europe.
00:37 Et donc, moi, je représente l'implémentation des contournements
00:41 à la menace quantique.
00:42 Bonjour, je m'appelle Philippe Langlois.
00:45 Donc, moi, je suis fondateur de plusieurs sociétés
00:48 dans le domaine de la sécurité informatique.
00:51 Celle pour laquelle j'intervenais, c'était pour les réseaux mobiles,
00:54 mais dans le passé, j'ai fait des choses orientées,
00:58 sécurité en général, vulnérabilité.
01:00 J'ai participé à une société qui s'appelle CryptoSense,
01:04 qui était une société de crypto security management.
01:08 En gros, c'était pour pouvoir, par exemple,
01:10 détecter dans des codebase assez massives ou dans du trafic réseau
01:14 les différents types de cryptosystèmes qui sont utilisés
01:17 ou la configuration d'un HSM et de voir les failles crypto
01:22 dans ces utilisations de crypto, y compris les failles futures,
01:26 c'est-à-dire tout simplement, ça utilise une taille de clé RSA
01:32 où on sait, grosso modo, que dans X temps,
01:35 elle sera vulnérable à des attaques quantum.
01:38 Et du coup, ce n'est pas au titre de CryptoSense,
01:42 d'ailleurs racheté par Sandbox EQ l'année dernière,
01:46 à filial de Google ou un spin-off de Google.
01:49 Ce n'est pas à ce titre-là, puisque fondamentalement,
01:52 je suis maintenant juste shareholder.
01:54 C'est plus au titre d'utilisation que je vois dans les gros systèmes,
01:57 les gros réseaux typiquement d'opérateurs.
02:00 - Alors, normalement, il y avait Paul Chamas.
02:03 - J'ai essayé de combler, mais il n'est pas venu.
02:05 - Voilà, de QRISK, qui était là tout à l'heure.
02:09 Alors, on va...
02:14 Ah, le voici.
02:15 - Ah oui.
02:17 - Comme quoi.
02:18 Et donc, l'avantage, c'est qu'il n'a pas besoin de se présenter.
02:24 Et donc, on va pouvoir enchaîner avec les questions.
02:28 Donc, la première question, c'était,
02:30 finalement, sur le quantique.
02:35 C'était un peu une petite présentation de comment ça marche.
02:40 Alors, on l'a eu un petit peu tout à l'heure,
02:43 donc on va aller vite.
02:44 Mais c'est vrai que la question essentielle là-dessus,
02:47 moi, j'avais l'impression, en tout cas, dans le regard du geek,
02:52 c'est, effectivement, on nous parle de 100 qubits, etc.
02:56 Si les capacités nécessaires, on va dire,
03:00 pour casser des déchiffrements complexes d'aujourd'hui,
03:05 c'est plutôt en milliers de qubits,
03:07 finalement, quand est-ce que ça va arriver ?
03:11 - C'est une question assez attendue, du coup, je propose d'y répondre.
03:17 Déjà, pour expliquer un peu ce qu'est le quantique,
03:20 moi, ce que j'aime bien faire, c'est de vous dire,
03:22 si je prends ce verre d'eau et que je le fais tomber au sol,
03:25 ça fait au moins 200 ans qu'on sait parfaitement expliquer
03:29 ce qui se passe.
03:30 C'est la mécanique de Newton.
03:33 Vous savez tous qu'est-ce qui va se passer.
03:35 On sait décrire parfaitement ce qui se passe quand un verre d'eau
03:38 tombe par terre.
03:39 En revanche, si vous prenez un objet qui est beaucoup plus petit,
03:42 ça veut dire quoi plus petit ?
03:43 C'est à l'échelle vraiment du nanomètre.
03:44 Si vous prenez un photon, si vous prenez un électron,
03:48 en fait, les lois de la physique auxquelles il est soumis,
03:51 qu'on appelle les lois de la physique quantique,
03:52 elles sont très, très différentes.
03:54 Elles sont assez surprenantes et elles marchent de manière très
03:57 différente que la physique des gros objets.
03:59 La physique de cette bouteille d'eau est très différente de la physique
04:02 d'un électron.
04:03 Et le calcul quantique, c'est vraiment ça.
04:05 C'est utiliser les mathématiques plus riches qui nous viennent
04:08 de la physique quantique pour être capable de faire d'autres
04:11 types d'opérations.
04:12 Ces opérations-là, en général, elles servent à rien.
04:15 C'est à dire que vous n'utiliserez pas un ordinateur quantique
04:18 pour, je ne sais pas, par exemple, pour ouvrir Word plus rapidement.
04:23 En fait, les algorithmes pour lesquels c'est utile d'avoir
04:26 un ordinateur quantique, il y en a vraiment très peu,
04:31 mais il en existe qui sont tellement importants que c'est pour ça
04:34 que les pays du monde entier s'en arrachent.
04:36 Mais pour faire des choses utiles, la brique de base de l'informatique
04:40 quantique, c'est ce qu'on appelle le Qubit.
04:43 Donc, le Qubit, c'est vraiment l'équivalent du bit dans le monde
04:46 quantique.
04:47 C'est quelque chose de très petit, qui a des propriétés quantiques
04:50 et dont on se sert pour faire des calculs.
04:52 Et la question, c'est de savoir quand est ce qu'on pourra en
04:54 aligner assez pour faire des choses intéressantes, par exemple,
04:58 pour faire Shor, l'algorithme dont Paul a parlé tout à l'heure.
05:02 Et donc, pour faire ça, il y a plein de startups dans le monde
05:07 et de grosses entreprises dans le monde entier qui se tirent un peu
05:11 au jour pour savoir qui y arrivera le premier.
05:13 Ils ont chacun leur propre technologie.
05:15 Donc, par exemple, en France, vous avez 6 startups qui sont sur
05:20 ce créneau là, qui ont chacune un domaine.
05:22 Par exemple, le domaine d'Alice et Bob, c'est le domaine des
05:26 Qubits de chasse.
05:27 C'est des types très particuliers, de tout petits circuits
05:30 supraconducteurs.
05:31 Mais il y en a d'autres, par exemple, comme Pasquale,
05:34 ils travaillent sur des atomes neutres ou C12, ils travaillent
05:38 sur des nanotubes de carbone.
05:39 A la limite, peu importe quelle est la brique de base.
05:42 La question, c'est de savoir quand est ce qu'on pourra s'en
05:44 servir vraiment pour faire des calculs.
05:46 Donc, pour ça, vous avez un peu trois étapes.
05:49 La première étape, c'est quand est ce qu'on saura faire
05:52 un Qubit logique ?
05:53 Un Qubit logique, c'est un Qubit qui marche comme dans les livres,
05:56 c'est à dire comme c'est écrit dans les manuels de calculs
05:59 quantiques.
06:00 Donc, pour ça, le nombre de Qubits physiques qu'il faut
06:02 aligner pour être capable de faire un Qubit logique et dépend
06:06 de la technologie.
06:07 Par exemple, pour IBM, il en faut 1000, pour Alice et Bob,
06:10 il en faut plutôt une trentaine.
06:11 Donc, ça, par exemple, dans notre roadmap,
06:17 on vise la fin de l'année prochaine, donc assez proche.
06:20 L'étape au-dessus, c'est quand est ce qu'on arrive à faire
06:25 un calcul quelconque plus rapidement qu'un ordinateur
06:30 normal.
06:31 Mais quand je dis un calcul quelconque, c'est quand même
06:33 un calcul utile.
06:35 Donc, ça, c'est là où Paul disait tout à l'heure, il serait stupide,
06:42 c'est celui qui donnerait une date.
06:45 Désolé, je vais quand même proposer une date.
06:46 On va dire 2030 plus, c'est à dire, c'est au moins en 2030.
06:50 Et après, la troisième étape, c'est quand est ce qu'on...
06:54 qu'il y a vraiment une menace quantique, quand est ce que
06:57 vraiment on fait short ?
06:58 Donc, c'est au moins après 2030.
07:00 Si je devais me mouiller aujourd'hui, je dirais à 2035.
07:04 Très bien.
07:05 Alors du coup, la question pratique qui va avec, c'est est ce que du coup,
07:15 on doit craindre aujourd'hui pour nos mots de passe, pour nos tunnels,
07:24 etc. ?
07:26 Qu'est ce qui est l'idéal ?
07:30 Qu'est ce qui est en termes de planning ?
07:32 On parlait tout à l'heure de double chiffrement avec un chiffrement
07:37 classique d'aujourd'hui plus un chiffrement, on va dire,
07:42 quantum safe.
07:43 Qu'est ce qu'il faut faire ?
07:48 Et surtout, pourquoi il faut le faire ?
07:51 Tu as parlé rapidement tout à l'heure de la notion de store now et
08:00 creep later, enfin, peu importe comment ça s'appelle.
08:03 Mais globalement, on comprend l'idée.
08:05 Tu sniffs des tuyaux, tu enregistres le flux chiffré et puis ensuite,
08:11 derrière, tu penses pouvoir le casser plus tard.
08:13 Du coup, qu'est ce qu'il faut faire ?
08:18 Une question intéressante à se poser là dessus, c'est qu'est ce que
08:22 vous, vous avez comme données à l'heure actuelle qui est chiffrée
08:24 par du RSA, par exemple, qui dans 12 ans, si elle est déchiffrée,
08:29 le temps que ça va prendre et les ressources que ça prendra
08:31 un ordinateur quantique, ça aspire à l'heure de CPU,
08:34 bien évidemment.
08:35 Je ne sais pas si ça s'appellera pas un CPU, je pense, d'ailleurs.
08:38 Fondamentalement, ça va représenter une somme d'argent.
08:41 Le secret qui est protégé, qui va du coup, grosso modo,
08:46 est ce qu'il y a des secrets qui, dans 12 ans, vaudront le coup de
08:49 s'attaquer à ce secret là ?
08:52 La plupart du temps, on parle d'effondres, bien évidemment,
08:55 secret d'État, mais il y a peut-être d'autres choses.
09:00 C'est là où c'est intéressant et où Paul a une vision,
09:04 justement, sur les besoins des entreprises.
09:06 Je vais ajouter un petit truc qui est, aujourd'hui, quand RSSI me
09:16 demande cette question quant à ce qu'il faut faire, je lui dis
09:20 en fait, il faut réfléchir à une chose très importante.
09:23 Oublions le camp ou quelque chose comme ça.
09:29 Pour le faire, quelles sont les étapes qu'il faut faire pour le faire ?
09:32 Premièrement, comprendre cela.
09:35 Deuxièmement, aller cartographier toute notre architecture pour
09:42 voir, pour faire l'inventory de notre cryptographie.
09:44 Ça, ça a besoin du temps.
09:46 Si on est une grosse banque, si on est un opérateur cloud,
09:50 si on gère une grosse infrastructure, ça peut prendre des mois et des
09:54 mois, et pas seulement cartographier, mais aussi assister par rapport
09:57 à des risques actuels, voir les vulnérabilités, voir ce qu'il
10:01 faut renforcer par rapport au quantique, pas quantique.
10:03 Et ensuite, vous savez qu'il y a bien sûr des protocoles finalistes
10:09 de NIST, mais ça ne veut pas dire que ces protocoles, juste,
10:11 on les prend, on les met.
10:12 Il faut savoir quelles sont les solutions, tester les solutions,
10:15 voir le benchmark actuel, voir quelles solutions par rapport
10:19 à l'application, est-ce qu'il y a une diminution ou non de la
10:22 performance, est-ce que ça crée des vulnérabilités pour d'autres
10:26 choses.
10:26 Il y a une phase après l'inventory de R&D.
10:29 Après cette phase de R&D, on a choisi les protocoles qu'on veut
10:32 par rapport aux plateformes web.
10:37 On va choisir ça par rapport à nos bases de données, par rapport
10:39 à nos tunnels, à nos interlocuteurs.
10:41 Très bien.
10:42 Maintenant, on passe vers la migration, vers des chantiers
10:44 de migration.
10:45 Donc, pour faire ça, on doit prioriser nos chantiers.
10:48 On a des infrastructures critiques, des data critiques,
10:51 des applications.
10:52 Et parfois, tous ces trucs-là, si on les ajoute, c'est des années
10:56 et des années.
10:57 Peut-être on dit, moi, je suis une grande banque.
10:59 Pour faire tout ça, j'ai besoin de huit ans.
11:01 OK, très bien.
11:03 Ça veut dire, si c'est vrai qu'entre 2030 et 2000...
11:07 - Il ne faut pas se tromper dans la priorisation.
11:08 - Donc, oui, parce que si on dit, pour être conservateur, c'est
11:12 2035, ça veut dire en 2025, on doit commencer à réfléchir et
11:18 à planifier ces chantiers.
11:19 C'est pour ça que je dis, le jour J n'est pas si important,
11:25 parce que même si on dit que c'est dans 20 ans, il ne faut pas
11:28 attendre 20 ans pour pouvoir commencer à faire ces chantiers-là,
11:32 parce que là, c'est trop tard.
11:33 Et ça, c'est le message le plus important à mettre en avant.
11:35 - Alors, on parlait de double chiffrement, de hybrides.
11:43 On a vu, il y a quelques années, avec le passage de RSA par défaut
11:49 dans les navigateurs à ECDSA, on a vu un peu les CPU,
11:53 des load balancer monter d'un coup et tout un tas de matériel
11:59 et hardware passer de utile à inutile.
12:03 Que crouille de ça côté hardware ?
12:08 Est-ce que les fabricants de CPU sont un peu aware du sujet ?
12:13 Est-ce qu'ils commencent à se dire, ah ouais, tiens, on va mettre
12:15 de l'accélération hardware.
12:17 Il y a déjà les AVX et compagnie, mais est-ce que du coup,
12:20 ils s'adaptent à ça ?
12:21 Quand est-ce que ça sera prêt, les accélérations hardware dans
12:28 les CPU et globalement, comment ça se pense, tout ça ?
12:31 - La cryptographie, c'est quelque chose qui est extrêmement
12:35 mouvant, c'est-à-dire qu'un algorithme n'est jamais valide
12:39 pour l'éternité.
12:42 Le problème du hardware, c'est qu'il a tendance à être un peu
12:44 figé et donc vouloir implémenter trop de hardware, trop de
12:49 cryptographie dans le hardware, c'est s'exposer dans quelques
12:53 temps au problème que tu mentionnais, c'est-à-dire que le
12:56 jour où cet algo commence à être un peu obsolète ou parce que
12:58 des fournisseurs de sécurité ont préféré un autre algo,
13:01 brusquement, le hardware ne fonctionne plus.
13:03 Quelque part, il faut être prêt à considérer qu'avoir du
13:08 hardware figé, un accélérateur figé pour créer un algo
13:12 particulier, ce n'est pas forcément un bon choix.
13:14 D'autant plus que là, on parle, quand tu parlais d'accélérateur,
13:20 notamment sur AES, il y a deux types de cryptos, pour ceux qui
13:24 connaissent un peu, il y a la crypto symétrique avec AES qui
13:27 permet de chiffrer vraiment les données massivement et qui,
13:30 elle, n'est pas tellement challengée par l'ordinateur
13:33 quantique.
13:34 Tu le disais tout à l'heure, il faut passer d'AES 128 à AES
13:36 256.
13:38 Ce n'est pas la mort.
13:39 Mais faites-le.
13:41 Mais faites-le, oui.
13:43 Faites-le vite.
13:44 Justement, en termes d'infrastructure, ce n'est pas
13:46 grand-chose à changer.
13:47 Un paramètre par-ci, par-là, ça ne va pas consommer énormément
13:50 plus de ressources.
13:51 Donc, ça, c'est la première chose.
13:52 Donc, du coup, pour le chiffrement des données elles-mêmes,
13:54 vous êtes à peu près tranquille.
13:55 En revanche, la cryptographie asymétrique, celle qui permet
13:58 de signer les données, celle qui permet d'échanger et de stocker
14:02 les clés de chiffrement, c'est elle qui est régulièrement
14:05 remise en cause.
14:06 Et autant on a 40 ans de recul sur RSA, on a 30 ans de recul
14:10 sur la crypto à courbe elliptique et c'est des choses relativement
14:13 stables, on ne fait qu'augmenter de temps en temps la taille des clés
14:16 pour se donner un peu de marge, mais c'est tout.
14:17 Autant la cryptographie post-quantique, ce dont tu parlais
14:21 tout à l'heure, Paul, ces algorithmes qui sont faits pour
14:24 résister à un ordinateur quantique, ça utilise des mathématiques
14:28 un peu récentes et pas toujours très bien maîtrisées.
14:30 Donc, il y a déjà des algorithmes qui sont tombés.
14:35 C'est-à-dire que l'an dernier, il y a eu une normalisation du NIST.
14:39 Il y a un algorithme de signature qui s'appelle Rainbow qui est
14:43 tombé juste avant et un algorithme de chiffrement qui s'appelle
14:46 Saiki qui est tombé juste après.
14:48 Donc, ça fait un peu peur à tout le monde.
14:50 Aujourd'hui, tout le monde parle de Kyber et de lithium pour le
14:53 chiffrement et pour la signature.
14:54 Tout le monde a l'air d'accord là-dessus, mais tout le monde se
14:56 dit peut-être que l'année prochaine, ça va tomber.
14:57 Et donc, vouloir implémenter des choses comme ça en hardware,
15:01 c'est quand même prendre un risque.
15:02 Je pense qu'à terme, il faut quand même se préparer à avoir
15:05 des CPU qui fassent le boulot.
15:07 Et pour ça, les gens qui font des CPU, et j'en fais partie,
15:11 on se dit plutôt que d'essayer d'implémenter des accélérateurs
15:15 dans un CPU, essayons d'avoir des CPU qui tournent ces algorithmes vite.
15:19 Parce qu'au fond, des accélérateurs dans les CPU, on en a pour le
15:22 symétrique, pour AES, tu l'as parlé, pour les H.
15:24 Est-ce que vous connaissez un CPU Intel ou AMD qui implémente un
15:26 accélérateur RSA ou crypto-courbe elliptique ?
15:29 Il n'y en a pas.
15:30 Et il n'y aura probablement pas de CPU qui implémentera d'accélérateur
15:35 de Kyber, parce qu'on ne sait pas ce que va donner Kyber dans deux ans.
15:38 Voilà, donc c'est plutôt se préparer à faire ça dans des CPU,
15:42 dans des CPU qui seront du coup peut-être adaptées, plus rapides,
15:46 plus légers, moins énergivores.
15:48 Moins énergivores, c'est-à-dire au lieu de mettre 40 coeurs,
15:50 on en met 80.
15:51 Alors là, je pars un peu pour ma paroisse, mais du coup,
15:54 c'est utiliser des architectures moins gourmandes comme les
15:57 architectures ARM, par exemple, plutôt que Intel,
16:00 qui est quand même un jeu d'instruction CISC assez gourmand et par définition
16:05 peu optimisable.
16:07 Mais c'est un petit peu la voie à tracer.
16:09 Très bien.
16:12 Est-ce qu'il y a quelqu'un qui parle de la grosse bombe qu'a lâchée
16:15 DGB la semaine dernière ? Daniel G. Bernstein, tu as suivi ?
16:20 Donc en gros, DGB, c'est un peu le gars qui modernise la crypto dans
16:26 les chaînes sources et dans la recherche depuis combien de temps ?
16:29 20 ans ?
16:30 Après s'être attaqué au DNS.
16:33 Il a fait un nombre de trucs.
16:34 Son nom de domaine est rigolo, c'est cr.yp.to, crypto.
16:39 Donc il a utilisé un bon bon, bonne utilisation des TLD.
16:43 Et du coup, il a publié la semaine dernière un petit papier où il dit
16:47 c'est bizarre, il faudrait apprendre au NIST, donc je répète,
16:51 c'est ceux qui standardisent les technologies aux États-Unis,
16:54 à compter, parce qu'en fait, ils sont plantés dans une estimation
16:57 de complexité sur justement l'algorithme quantum qui a été
17:02 sélectionné.
17:03 Ça s'appelle KyberCrystal, Kyber en général, les sous-algorithmes
17:07 qui vont bien.
17:08 Et du coup, ils sont plantés dans une estimation de complexité.
17:11 Il dit, je pense que c'est de bonne foi, mais je pense qu'ils sont
17:15 très mal conseillés parce qu'en gros, quand il a fait les FOIA,
17:18 donc des demandes d'informations où il force et il oblige des agences
17:23 américaines, tel le NIST ou tel la NSA, à publier de la donnée
17:27 qu'il ne voulait pas publier au préalable, en fait, il s'est avéré
17:31 qu'il y avait beaucoup d'échanges entre NIST et NSA pour aller
17:35 dans une certaine direction.
17:36 Et cette direction, elle est un peu étonnante.
17:40 Par exemple, il dit, moi, je ne juge pas, je ne dis pas que Kyber
17:44 est cassé ou vulnérable, mais par contre, par exemple, Kyber,
17:49 c'est des tailles de clés fixes.
17:51 Et on sait dans le passé que les tailles de clés fixes pour des
17:56 choses qui n'étaient pas post-quantum, ça permettait des fois
17:58 des linéarisations cryptos, des attaques par linéarisation
18:03 et unrolling qui sont assez sexy et sur lesquelles la NSA était
18:08 vachement performante.
18:09 En gros, DGB a ouvert la boîte de Pandore en disant, c'est bizarre.
18:15 Et c'est vraiment...
18:16 Alors, il faut avoir du temps pour lire tout le truc, mais je vais
18:19 laisser...
18:20 Non, non, ils ont refait le coup de CDRBG, c'est à dire un algo
18:24 biaisé dès le départ.
18:25 Mais là, on ne sait pas.
18:27 Alors que sur cet algo que tu précisais, on sait que c'était
18:31 grosso modo cassé, voire bac doré.
18:34 Je n'ai pas entendu cette déclaration.
18:36 Par contre, là où j'ai entendu d'autres similaires, c'est que
18:40 aujourd'hui, en discutant avec des acteurs européens sur les
18:44 positions, comme j'ai dit, position européenne versus
18:47 américaine, européenne, c'est avec l'hybridation, etc.
18:51 La seule position, et là, il y a beaucoup de personnes qui ont dit
18:55 c'est bizarre, la seule position agressive move post-quantum
18:59 cryptographie avec des purs protocoles cryptographiques,
19:01 c'est seulement la NSA.
19:02 Ce n'est pas les Etats-Unis, parce que les Etats-Unis, bien sûr,
19:05 ils sont un peu moins conservateurs que l'Europe, mais ils sont
19:09 ouverts à l'idée de l'hybridation.
19:10 Par contre, la NSA, c'est le seul au monde qui est clair dans
19:15 sa position, un passage pur PQC.
19:18 Et ça, ça fait beaucoup de points d'interrogation.
19:21 - Ça a modulé avec des exécutives order, donc qui ont été passées,
19:26 je crois que c'était l'année dernière ou fin d'année...
19:29 - En juin 2022.
19:31 - Oui, je crois.
19:32 Et même en janvier 2022, il y avait déjà des choses qui
19:36 disaient "prenez en compte, prenez en compte au niveau
19:39 industriel le risque quantum au niveau de la cybersécurité".
19:43 Et là, dans ce cadre-là, ils étaient peut-être un peu moins
19:45 dogmatiques sur "faites des choses hybrides".
19:48 Et faites des choses hybrides, justement.
19:51 Donc, c'est intéressant de voir aussi qu'on parle de ça et ça
19:55 paraît super exotique.
19:56 Il y a un package SSH qu'on peut installer sur Debian depuis
20:00 maintenant facilement deux ans, qui permet d'avoir du wrapping
20:04 et PQC et crypto standard et qui est disponible.
20:07 Donc, ça veut dire que dès maintenant, on peut commencer
20:11 à utiliser ça.
20:12 De manière intéressante, le dernier open SSH qui vient de
20:15 sortir, le 9.5 la semaine dernière, ça inclut des choses
20:19 pour se prémunir contre des timing attacks.
20:22 Mais il n'y a rien sur la PQC, je crois.
20:23 Je peux peut-être me tromper, mais en tout cas, ce qui était
20:26 mis en avant, vraiment, c'était les timing attacks.
20:27 Donc, il y a encore une prise de conscience alors qu'il y a plein
20:30 de technos qui sont disponibles.
20:31 - Je vais juste ajouter, justement, ça soulève un point
20:35 qui est intéressant, c'est que des attaques sur des systèmes
20:38 de chiffrement, il y en a plein qui sont très, très variées.
20:41 On va parler des attaques linéaires.
20:42 Il y a aussi les attaques différentielles, il y a les timing
20:44 attaques, les attaques directes en brute force.
20:46 Il y a tout un zoo.
20:48 Et ce qui est intéressant, c'est que ce qui fait qu'il y a
20:51 toute cette peur, on va dire, c'est qu'on a découvert qu'il y
20:53 avait deux grandes familles d'algos qui pouvaient tourner
20:55 sur des ordinateurs quantiques.
20:57 C'est Shor sur la symétrique et un autre qui s'appelle Grover
21:00 sur le symétrique.
21:01 Mais en fait, aujourd'hui, des gens qui essayent de trouver
21:03 ces attaques-là, il n'y en a pas non plus des milliers,
21:08 alors que sur des ordinateurs classiques, il y en a vraiment
21:12 des milliers qui chargent des attaques tous les jours.
21:13 Ça veut dire qu'on n'est pas à l'abri de découvrir d'autres
21:18 types d'attaques qu'on pourrait faire tourner sur un ordinateur
21:20 quantique demain.
21:21 Et voilà, il n'y a pas besoin de savoir faire Shor, il y a peut
21:27 être d'autres choses qui seront efficaces et peut être même
21:29 efficaces plus tôt avant Shor.
21:32 Et donc, c'est pour ça que ça prendra du temps de faire
21:38 confiance dans le post-quantique, parce qu'en fait, dans ces nouveaux
21:41 algorithmes, à ce que tu as très bien dit tout à l'heure, il faut être
21:45 résistant et aux classiques et aux quantiques, mais être résistant
21:49 aux quantiques, on sait un petit peu ce que ça veut dire, mais il y a
21:52 encore une grosse matière à la créativité.
21:55 Donc, il y a effectivement, il faut commencer à se poser des
21:58 bonnes questions pour déployer du post-quantique, mais il faut le
22:01 faire aussi avec une certaine prudence.
22:06 Alors, petite question rapide, si quelqu'un a la réponse, ça se
22:11 passe à quelle échelle le Storna Decrypter ?
22:15 Est-ce que c'est juste la NSA ou bien c'est une pratique, je dirais,
22:19 généralisée ?
22:20 Est-ce que tout ce qui transite aux US devrait se sentir concerné ?
22:27 Déjà, d'un point de vue, il y a un truc intéressant à voir,
22:32 c'est que les années 2000 à 2020, même voire 1990 à 2020,
22:38 pour toutes les agences de renseignement mondiales, ont été
22:42 des années et catastrophiques et géniales.
22:45 Catastrophiques parce qu'en gros, tous les satellites qu'ils avaient
22:49 foutus en orbite pour pouvoir capter des communications en clair,
22:53 toutes les interceptions de câbles ou d'entrées de câbles sous-marins,
22:56 tous ces trucs-là, fondamentalement, c'est de moins en moins utile
23:00 à cause d'un gros mot qui s'appelle SSL/TLS.
23:02 Et les gars, ils ont un peu les boules d'avoir investi des milliards
23:08 et de se retrouver à dire "mais maintenant, qu'est-ce qu'on peut faire ?"
23:11 Alors du coup, le SNDL, Storna Decrypter ou Harvestna Decrypter,
23:16 c'est devenu un peu quelque chose de très intéressant pour eux parce
23:19 que ça permet de dire "on ne va pas le jeter à la poubelle,
23:22 finalement, c'est un peu utile".
23:23 Déjà, c'est un éclairage qui est intéressant pour voir ce truc-là,
23:27 pour se dire "OK".
23:28 - Je crois que la France a même développé une technologie
23:30 sur les sous-marins pour pouvoir écouter des câbles de fibres optiques
23:34 en tranchant un tout petit peu la fibre, mais pas complètement
23:39 pour qu'elle continue de marcher.
23:40 Donc ça, ça doit coûter un peu cher.
23:42 - Ça, ça doit coûter un peu cher.
23:43 Et ce qui est rigolo, c'est aussi, puisque c'est une course à l'échalote,
23:47 les Américains, bien évidemment, ils étaient là-dessus, les Russes aussi.
23:50 Et les Américains, ils ont dit un truc, ils ont dit "oui,
23:53 vous commencez à regarder un peu de très près vos câbles sous-marins,
23:56 sachez", et ils ont fait une déclaration il y a trois, quatre ans,
23:59 "que toute intervention sur un site de l'armée américaine qui serait
24:05 dans les eaux internationales", de quoi ils parlent, "serait un acte
24:09 de guerre et il y aurait une réponse à ce niveau-là".
24:13 On se dit "mais pourquoi ?".
24:14 OK, on leur capte une station d'interception, ça craint.
24:19 En fait, il y a des gens qui disent "oui, mais comment tu alimentes
24:23 ce truc-là, qui sont à quelques centaines, voire quelques milliers
24:26 de mètres sous la surface du globe".
24:28 Donc en gros, ils disent "il est possible qu'il y ait des sources
24:30 nucléaires à des endroits pour pouvoir remonter l'info".
24:34 On rentre dans des délires complètement dingues où on voit qu'il y a des gens
24:39 qui voient leur poule aux œufs d'or s'effacer.
24:43 Et de l'autre côté, chez eux, toujours dans ces services de renseignement,
24:48 il y a une autre paroisse qui est la paroisse des hackers.
24:51 Ça s'appelle TAO, typiquement aux États-Unis,
24:53 Tailored Access Organization, au sein de l'NSA.
24:56 Et en gros, ces gens-là, ils n'ont pas arrêté de faire des gros wins,
24:59 de compromettre des grosses entités, etc., de faire récupérer plein
25:03 de renseignements.
25:04 Donc on voit, il y a des paroisses qui font la guerre.
25:06 Et au milieu de ça, il y a les directeurs qui disent "bon, OK,
25:10 maintenant, on va capter de la donnée et pour capter de la donnée,
25:16 la stocker".
25:17 On a vu des gros data centers dans certains États, paumés du centre
25:21 des États-Unis, qui étaient en train de se construire pour la NSA.
25:24 En fait, la question est très simple.
25:26 Est-ce que je vais avoir l'argent pour faire acheter les ordinateurs
25:31 des différents fabricants d'ordinateurs quantiques et décrypter
25:35 des choses qui vont vraiment me donner un avantage économique dans X temps ?
25:38 La réalité, c'est grosso modo, c'est les gros players.
25:40 Donc en gros, quelques players européens, US aussi, et quelques
25:47 players asiatiques.
25:49 Actuellement, notre modèle de menace, on se dit "OK, qu'est-ce qu'on
25:52 défend ?"
25:53 Et c'est que des suppositions.
25:54 Mais c'est assez rigolo de voir que finalement, le jeu en veut peut-être
25:59 pas leur chandelle, comme ta question pouvait un peu le faire supposer.
26:04 - J'avais une question très, très geek sur la factorisation des grands
26:11 nombres, mais je crois que là, on va s'endormir.
26:15 - Du coup, on va passer aux questions de la salle, s'il y en a.
26:20 Est-ce que à tout hasard, quelqu'un aurait une question sur le sujet ?
26:26 Ou est-ce qu'on a fait le tour ?
26:28 Et tout le monde veut passer au beer event là-bas.
26:32 - Bonsoir, Maxime Derche.
26:51 Juste petite précision pour Open SSH.
26:54 RSA a été déprécié dans la dernière sortie d'il y a quelques jours,
26:59 en faveur de DDSA.
27:01 Donc, c'est DSA avec la courbe d'Aiden Bernstein.
27:04 - C'est déjà une bonne direction, effectivement.
27:10 Mais je ne sais pas, mais du coup, dans cette release, il n'y a pas,
27:14 par contre, le wrap du...
27:17 Il y a un fork sur SSH où ils ont mis des algos PQC.
27:22 Je ne sais plus quel algo ils avaient utilisé, d'ailleurs.
27:23 Mais ce n'est toujours pas mainline, j'imagine.
27:25 Non ?
27:27 Ah oui ?
27:31 Je répète.
27:32 Je répète.
27:33 [inaudible]
27:34 [inaudible]
27:35 [inaudible]
27:36 (Propos inaudibles)
28:05 Pour synthétiser, la réponse était...
28:09 Du coup, la précision était que, oui, OpenSSH doit être un peu conservateur
28:14 parce qu'il y a quand même beaucoup de gens
28:16 dont la sécurité dépend de ce genre de choses
28:17 et on ne peut pas se permettre de mettre des choses expérimentales dedans.
28:19 Tout à fait d'accord.
28:21 -Bonsoir. -Merci.
28:24 -Bonsoir. Merci beaucoup des différentes informations.
28:27 Ca fait un peu écho à ce qu'on a pu voir.
28:30 En tout cas, j'étais présent la semaine dernière à Saint-Malo
28:33 sur la souveraineté numérique.
28:36 Et la question, c'est...
28:39 Autour des années 2000, on savait que déjà,
28:41 la NSA savait casser du déchiffrement.
28:45 Là, on va se retrouver dans une dizaine d'années avec la même chose
28:48 et on trouve toujours des solutions.
28:50 Est-ce que vous croyez à chaque fois qu'on arrivera à faire face
28:55 et à protéger nos données ou pensez qu'il y aura un moment d'inflexion
28:58 où on aura beau essayer de trouver des solutions,
29:00 il y aura des mécanismes ou des solutions informatiques
29:04 qui vont toujours casser la création humaine ?
29:07 -Il faut dissocier deux choses.
29:12 Il y a les solutions techniques, c'est-à-dire trouver
29:14 une contre-mesure à une attaque.
29:16 On a toujours trouvé des contre-mesures à une attaque.
29:19 Après, c'est plus la mise en oeuvre et le déploiement
29:22 et le fait de manière à temps, dans le temps.
29:28 -Est-ce qu'un jour, il y aura une telle accélération
29:30 des attaques et du cycle de contre-mesure ?
29:34 Est-ce que ce cycle sera plus court que le cycle de vie des données ?
29:38 C'est difficile de le savoir.
29:40 -Je veux juste ajouter, Rémi a dit quelque chose de très important.
29:43 La cryptographie, le chiffrement, c'est quelque chose de dynamique.
29:47 Ça n'a jamais été statique.
29:49 Mais ce qui se passe avec le quantique,
29:51 c'est que ça a brusqué un ordre un peu naturel.
29:54 Toujours, on fait un protocole.
29:56 Il sera obsolète dans 10 ans, dans 15 ans, jamais un protocole.
30:01 Il sera obsolète si on n'augmente pas les clés,
30:05 on fait quelque chose.
30:06 Par contre, le quantique dit ce que vous avez aujourd'hui,
30:08 je peux vraiment le casser dans 15 ans, 10 ans.
30:11 Et aujourd'hui, faites quelque chose.
30:13 Et ça, c'est contre-intuitif de nos pratiques.
30:17 Mais on sait que si on met un protocole aujourd'hui,
30:20 dans 10 ans, il sera obsolète.
30:22 Comment, aujourd'hui, on va mettre quelque chose
30:24 pour protéger ce quelque chose dans 15 ans ?
30:26 C'est pour ça que j'ai 2 recommandations, généralement.
30:29 Premièrement, on ne peut plus ne pas comprendre de quoi il s'agit.
30:33 Deux, on ne peut plus ne pas comprendre ce qu'on doit faire.
30:38 Chez nous, indépendamment de la décision stratégique
30:41 qu'on prend de commencer à faire ou non.
30:44 Donc, le stade où on est, c'est les grosses boîtes,
30:47 les gros opérateurs, les grosses banques, l'Etat
30:49 doivent comprendre la menace et comprendre les solutions
30:52 et comprendre si un jour, je vais déclencher ça,
30:55 qu'est-ce que je dois faire techniquement,
30:56 quelles sont les ressources que j'ai besoin, interne ou externe,
30:59 et quel est le budget pour pouvoir calmement
31:01 prendre des décisions stratégiques dans les années qui viennent.
31:05 -Est-ce que c'est la conclusion ?
31:07 En tout cas, un mot de conclusion, peut-être ?
31:11 -Je ne sais pas si c'est une conclusion, mais en tout cas,
31:14 l'informatique quantique,
31:16 j'explique à mes collègues qui font des processeurs,
31:18 c'est la 1re révolution depuis 1945.
31:20 C'est-à-dire que les CPU qu'on fait aujourd'hui
31:23 sont fondamentalement des architectures von Neumann
31:26 comme l'ENIAC en 1945.
31:28 L'ordinateur quantique, c'est la 1re fois
31:30 qu'il y a quelque chose de complètement nouveau.
31:32 Et donc, c'est pour ça que, comme disait Paul,
31:34 ça va complètement casser le jour où ça arrivera.
31:37 Donc, ça veut dire que le timing qu'on utilisait
31:40 pour attaque, réponse, attaque, réponse qu'on avait jusque-là,
31:43 ce timing-là, il ne faut peut-être pas l'extrapoler dans le quantique,
31:48 mais quand le quantique arrive, il y a un saut,
31:50 un saut en termes de fragilité qui va être très important.
31:53 Et c'est pour ça qu'il ne faut pas attendre
31:55 ne serait-ce que 2 ans avant.
31:56 Comme disait Paul, il faut le faire maintenant.
31:59 -Très bien. Merci.
32:01 -Peut-être un tout petit truc à rajouter en plus
32:03 qui est une dimension importante.
32:05 On a l'impression que là, il y a un ping-pong.
32:07 Il y a une attaque, on est au courant de l'attaque,
32:09 donc on trouve une réponse.
32:11 En fait, il y a aussi un problème de ce qu'on appelle le "stockpiling".
32:15 C'est-à-dire que les attaquants, ils s'assoient sur des quantités
32:19 de méthodes d'attaque et on apprend qu'ils ont cette méthode d'attaque
32:23 généralement entre 1 et 15 ans après.
32:26 Donc, grosso modo, il y a un problème,
32:29 c'est que si on pense qu'on gagne le jeu
32:31 si on est dans de l'attaque-réponse,
32:33 c'est qu'on l'a déjà perdu.
32:35 Et du coup, nous, faire un modèle de menace, c'est quoi ?
32:38 C'est de se poser la question,
32:39 qu'est-ce qui est de logique que l'attaquant ait ?
32:41 Et quand on se met dans cette logique-là,
32:44 on n'est plus du tout dans une logique académique de
32:46 "j'ai trouvé un truc qui craque ton algorithme".
32:48 C'est "OK, comment je me protège,
32:51 mais aussi comment je piège l'attaquant,
32:53 parce que s'il a craqué un type de message,
32:56 il va se comporter d'une manière différente".
32:58 Et ça, c'est un "mindset", un état d'esprit.
33:01 Il faut avoir été attaquant en général
33:04 pour bien savoir défendre comme ça.
33:05 Pour un dernier mot aussi, un film que j'aime beaucoup,
33:10 c'est "Les femmes de l'ombre".
33:12 C'est ce moment où un groupe de femmes à la NASA,
33:16 pas à la NSA, mais à la NASA,
33:19 voit qu'avec un supercalculateur,
33:22 on peut faire des trucs de dingue.
33:24 Il faut prendre du temps, il faut comprendre comment ça marche,
33:26 comment on manipule cette bête bizarre.
33:28 Mais une fois qu'on y arrive,
33:29 on fait des trucs bien meilleurs que les voisins.
33:32 Et du coup, dans le contexte, en ce moment,
33:33 on va être un petit peu dans ce monde-là.
33:35 C'est-à-dire que ce sont ceux qui vont faire un peu un effort
33:38 de voir comment ça marche, ces bêtes-là,
33:40 comment on s'en sert, comment on fait mieux.
33:44 Ces personnes-là, elles comprendront mieux
33:45 le monde dans lequel elles vivent.
33:46 Donc je ne peux que rejoindre ce qui vient d'être dit
33:48 sur le fait de dire, voilà, intéressez-vous au sujet.
33:52 Ne voyez pas que la menace,
33:54 mais voyez aussi les opportunités pour votre job.
33:58 Et du coup, vous comprendrez peut-être mieux aussi
34:01 à quel moment est-ce qu'il sera le bon moment d'agir.
34:04 -Super. Merci.
34:07 Moi, je voulais quand même saluer, je dirais,
34:10 deux chefs-d'œuvre ou futurs chefs-d'œuvre
34:17 de l'ingénierie française.
34:19 Puisque du coup, que ce soit avec Alice et Bob,
34:21 où on va être, je l'espère, parmi les pays leaders
34:26 sur les ordinateurs quantiques,
34:29 ou que ce soit avec Cyperl,
34:34 où en fait, c'est la conception, grosso modo,
34:39 d'un processeur ARM très, très puissant,
34:42 avec beaucoup de cœur et beaucoup de capacité de calcul.
34:45 Les deux, alors pas "made in France",
34:48 mais en tout cas, ingénierie en France.
34:51 La fabrication des processeurs en France,
34:53 ce sera un autre débat.
34:56 Mais par contre, c'est quand même des choses qui sont à noter.
35:02 Je trouve qu'on...
35:04 -On est dans la course.
35:06 -Oui, on est dans la course.
35:07 On est dans la course et c'est quand même...
35:09 Si quelqu'un savait avant cette réunion
35:11 qu'il y avait un fabricant de CPU en France
35:15 qui lève la main...
35:17 Et voilà.
35:19 Maintenant, je pense que c'est quand même hyper intéressant de le savoir.
35:22 -Ca mérite un applaudissement.
35:24 -Et ça mérite un applaudissement.
35:26 (Applaudissements)