Cocorico ! C’est bien depuis les Etats-Unis que le National Institute of Standards and Technology (NIST) a dévoilé, le 5 juillet, les quatre premiers algorithmes sélectionnés pour définir les futurs standards d’une cryptographie post-quantique. Mais la France était particulièrement bien représentée, tant parmi les équipes à la conception desdits algorithmes que dans les brevets sur lesquelles certaines solutions lauréates s’appuient.
Ce concours a été lancé en 2016 par l’organe de standardisation technologique rattaché au département du Commerce des États-Unis pour répondre à la crainte numéro une des cryptologues : les ordinateurs quantiques. En effet, les techniques de cryptographie asymétriques – c’est à dire avec une clé privée et une clé publique – utilisées partout aujourd’hui pour sécuriser les services numériques qu’on utilise au quotidien, comme les transactions bancaires, l’accès aux sites web ou le chiffrement des messageries instantanées, mais aussi les services les plus critiques des Etats ou des armées, reposent sur la factorisation de grands nombres. Or, depuis la découverte, par le mathématicien Peter Shor en 1994, d’un algorithme quantique capable de factoriser n’importe quel nombre, la menace d’ordinateurs quantiques assez performants pour exploiter cet algorithme - et ainsi « casser » la plupart des systèmes de cryptographie actuels - plane.
Quatre algorithmes sélectionnés, quatre autres encore en lice
Ce risque mettrait en péril les données les plus sensibles d’Etats, d'où l'intérêt des grands pays comme les Etats-Unis pour cette technologie. Le NIST a décidé d’agir, avant même que des ordinateurs quantiques à la hauteur n’existent. La compétition a pour but de mettre à jour trois standards de cryptographie pour les rendre résistants aux ordinateurs quantiques – un champ que l’on appelle communément la cryptographie post-quantique :
- La signature électronique (FIPS 186-4)
- La cryptographie à logarithme discret (SP 800-56A)
- La cryptographique à factorisation d’entiers (SP 800-56B)
Après six ans, le NIST est passé de 82 algorithmes en lice à quinze évalués au troisième tour. A l’issue de celui-ci, l’institut a retenu un algorithme dans la catégorie « chiffrement à clé publique », CRYSTALS-KYBER, et trois dans la catégorie « signature électronique » : CRYSTALS-Dilithium, FALCON et SPHINCS+. Quatre autres algorithmes sont encore à l'étude pour la catégorie « échange de clés ».
Des équipes teintées de bleu, de blanc et de rouge
Dans les équipes à la conception des algorithmes CRYSTALS-KYBER et CRYSTALS-Dilithium, on retrouve notamment les Français Tancrède Lepoint, cryptographe chez Apple, Damien Stehlé, enseignant-chercheur à l’Ecole normale supérieure de Lyon et Léo Ducas, chercheur au Centre pour les mathématiques et l'informatique d'Amsterdam (CWI). L’algorithme FALCON, lui, a été co-développé par le géant français Thales avec des partenaires du monde académique et du secteur industriel venus de France (Université Rennes 1, PQShield SAS), de Suisse (IBM), du Canada (NCC Group) et des États-Unis (Brown University, Qualcomm). Figure même, au sein de l’équipe responsable de SPHINCS+, le nom de Jean-Philippe Aumasson, cryptographe spécialisé dans les protocoles à destination des technologies blockchain, passé par Université Paris Cité et CY Cergy Paris Université et qui a co-fondé en 2018 la start-up suisse Taurus.
Mais ce n’est pas tout : deux des algorithmes retenus par le NIST, dont CRYSTALS-KYBER, « pourraient s’appuyer sur des familles de brevets déposées dès 2010 par les enseignants-chercheurs Philippe Gaborit et Carlos Aguilar-Melchor (Université de Limoges et laboratoire CNRS Xlim), et détenues conjointement par le CNRS et l’Université de Limoges », nous apprend le CNRS. Si certains des concepteurs de ces algorithmes contestent l’applicabilité de ces brevets en l’état – Damien Stehlé a notamment co-écrit un article en ce sens avec son collègue Vadim Lyubashevsky, d’IBM Research Europe – l’organisme de recherche français réclamait, jusqu’à l’hiver 2021 encore, une rémunération de 1% pour exploiter la licence de ces brevets. Le NIST semble d’ailleurs avoir plié, puisque le CNRS et l’Université de Limoges ont annoncé le 6 juillet avoir signé un accord de licence avec l’organe de standardisation américain. Grâce à ce dernier, « les opérateurs et les utilisateurs finaux des normes cryptographiques dérivées des algorithmes PQC sélectionnés n'auront pas besoin d’obtenir une licence distincte sur cette famille de brevets du CNRS », indique le communiqué.
