Ordinateur Quantique et IA : La sécurité de vos plateformes digitales compromise dans 5 à 10 ans?

Partagez toute l''actualité

Partagez sur Facebook Partagez sur Twitter Copier le lien

- Publié 02/09/2021 - 14:44, mis à jour à 18/04/2023 - 15:33 ExpertisesEnjeu

Les alertes de Google, du Sénat et des spécialistes en cybersécurité

Sundar Pichai Directeur Général de Google

Sundar Pichai le nouvel homme clé de Google, promu directeur général, est un habitué des prédictions sur l'avenir de l’internet. A l'occasion d'un entretien avec la BBC il évoque la combinaison de l'intelligence artificielle et de l'ordinateur quantique comme une source de solution mais aussi de nouveaux défis. Déjà au forum de Davos de 2020 il avait évoqué que l'ordinateur quantique a lui seul serait capable de casser le cryptage de nos données d'ici 5 à 10 ans.

Mais il n'est pas le seul.

Avant lui en 2018 selon le magazine larecherche , Michele Mosca, qui enseigne l'informatique quantique à l'université de Waterloo, au Canada, estimait qu'il existait 50 % de chance qu'un des systèmes de cryptographie utilisés partout à travers le monde soit cassé dans les quinze ans à venir à l'aide d'un ordinateur quantique."

On pourra aussi citer l'OTAN en 2019

"Les cyber-attaques sont de plus en plus sophistiquées. Les entreprises doivent se préparer à la prochaine menace : l’ordinateur quantique.”
D. Mercier, ancien commandement suprême transformation de l’OTAN, Janvier 2019.

Et très récemment un rapport du Senat du 10 juin 2021

Le niveau de cybersécurité des entreprises doit être rapidement et fortement augmenté avant l'explosion de l'internet des objets (IoT), qui va étendre de façon exponentielle la surface d'exposition au cyberrisque, de l'ordinateur quantique qui démultipliera les capacités d'intrusion, ou encore de l'Intelligence Artificielle.

Ces prédictions, aussi pessimistes soient-elles, sont des alertes à prendre très au sérieux. Les entreprises ne prennent pas assez en compte les problèmes de sécurité d'aujourd'hui (voir notre article Alerte : 51% des entreprises ont déjà été touchées par un ransomware !), alors il ne faudrait pas jouer avec le feu.

AODB-cybersecurite-blog-ordi-quantique-plateforme

5 à 10 ans avant que vos applications ne soient piratables ?

AODB estime que la fréquence de refonte d'un système digital complet, dans les grandes entreprises, est comprise entre 4 à 6 ans.

Ainsi, en combinant nos statistiques avec celles des lanceurs d'alerte, cela implique qu'une grande majorité des entreprises d'aujourd'hui seront confrontées à des actes de cybercriminalité reposant sur l'ordinateur quantique, et probablement en combinaison avec des mécaniques d'intelligence artificielle, et cela avant même d'avoir eu le temps de refondre leur système d'information actuel.

Dans le meilleur des cas, la prochaine refonte sera décisive pour votre avenir ! Notre recommandation est d'intégrer la notion de Security-By-Design dès le début de votre projet afin de réduire votre surface attaquable.

Votre risque est statistiquement de 732,520 $USD/an

AODB-blog-securité-cout-moyen-pour-corriger-une-attaque-de-ransomware

En 2020, le coût moyen pour une entreprise piratée était déjà de 732,520 $USD si elle ne payait pas (474,478$USD pour la France) et de 1,448,458 $USD si elle payait la rançon. ( source State of Ramsomware 2020 (Sophos) ) sachant que 51% des entreprises déclarent avoir été hameçonnées (sondage réalisé 5000 entreprises dont 300 Françaises). Et seulement 17% des entreprises françaises ont été capables de repousser l'attaque.

Sachant que le marché de la cybercriminalité est en croissance de 15%/an, il est fort à parier que les montants et les risques seront supérieurs quand l'ordinateur quantique sera pleinement opérationnel entre les mains des cybercriminels.

La sécurité n'est donc plus à penser sous la forme d'une charge mais sous la forme d'un investissement visant à diminuer vos coûts de reprise d'activité suite à une cyber-attaque.

Comprendre le risque IA & Quantique

AODB-blog-securité-comprendre-le-risque-IA-et-Quantique

L'intelligence artificielle permet à des algorithmes d'apprentissage, de type " deeplearning", d'identifier des solutions sur une grande quantité de données que nous n'arrivons pas à trouver en tant que simple humain.

Comment cela fonctionne-t-il? Vous lui fournissez beaucoup de données, en mode apprentissage, par exemple de photo avec le même visage. Puis vous lui fournissez beaucoup de photos ou vidéos pour reconnaître ce même visage et vous obtenez un système de reconnaissance facial. Depuis 2016, IBM, Microsoft, Google ou Amazon proposent des solutions d'intelligence artificielle de ce type, exploitables sous la forme d'APIs, c'est pourquoi beaucoup d'applications sont nées de cette démocratisation. Pour les plus populaires : de nombreux filtres de vieillissement ou de rajeunissement sur vos réseaux sociaux, de nombreuses solutions de deepfake, etc..

Mais il est déjà possible d'appliquer ce potentiel à la détection de faille de sécurité de façon intelligente. Selon un sondage Sophos, les attaques ont déjà très largement augmenté en raison d’un déploiement de technologies émergentes telles que le «Machine Learning», l'intelligence artificielle et la 5G.

Normal quand on sait que l'humain a des difficultés à trouver ce que l'IA trouve facilement.

Et dans l'hypothèse où l'intelligence artificielle n'a pas trouvé de faille dans votre système, il reste la possibilité de casser les algorithmes de chiffrement de vos flux de données afin de pénétrer votre système d'information et d'en exploiter le contenu.

Et c'est là qu'intervient l'ordinateur quantique.

En effet l'ordinateur quantique permet de résoudre certains calculs mathématiques complexes à des vitesses exceptionnelles. Or le développement de cet ordinateur est bien plus rapide que prévu et une compétition mondiale est en cours. En 2021 IBM a par ailleurs déjà allumé son premier ordinateur quantique en France ( source : zdnet)

AODB-cybersecurite-blog-ordinateur-quantique

Mais pour pénétrer votre système d'information, il faudrait savoir casser la méthode de chiffrement le plus utilisé sur internet : le RSA ( définition Wikipedia ici). Cette méthode de chiffrement permet notamment de sécuriser les échanges SSL via le protocole HTTPS utilisé par bon nombre de sites intranet/extranet, internet, e-commerce et applications de tous les jours. Donc quasiment tout ce que vous utilisez via internet aujourd'hui.

Or déchiffrer du RSA nécessiterait énormément de temps à un ordinateur classique pour trouver le bon code, donc votre protection est exclusivement lié à la quantité de temps nécessaire afin de trouver la bonne clé de chiffrement. C'est pourquoi la longueur des clés de chiffrement augmente régulièrement afin de donner toujours plus de fil à retordre au criminel qui voudrait s'attaquer au chiffrage RSA permettant ainsi de garder l’avance versus l’évolution de nos capacités et nos puissances de calcul (loi de Moore). Voir papier ANSSI page 50

Selon un article du Journal du Net datant de 2006, il fallait alors 1 an avec 30PC en réseau pour casser une clé RSA de 512 bits et il fallait de 5 à 10 ans pour casser une clé de 1 024 bits. Mais la puissance informatique augmente et c'est pourquoi depuis 2010 les entreprises doivent privilégier des clés de 2 048 bits…

D'ailleurs, votre entreprise est-elle bien passée au RSA 2048 bits? Parce que si ce n'est pas le cas vous prenez des risques importants sur les 10 prochaines années! (Faites un audit pour vous en assurer)

En effet un PC quantique de 2 048 qbits pourrait factoriser quasi instantanément un nombre de 1 024 bits et ainsi casser instantanément toute votre sécurité.
Or depuis 2006 l'ordinateur quantique a fortement évolué, passant de 16qbits à … 1000qBit promis par IBM en 2023 . C'est donc la course au nombre de qBit, d’ailleurs chaque état investi pour être dans la course ( voir article zdnet). Et par projection, l'augmentation du nombre de qBit étant en accélération exponentielle, l'ordinateur quantique capable de casser le RSA de 1024 bits est très proche d'arriver ! Les alertes des spécialistes en cyber sécurité semblent donc parfaitement justifiées...

Rassurons nous, selon une étude du MIT , il faudrait 20 millions de qbits pour casser un code de 2 048 bits en 8 heures seulement. Mais combien de temps faudra t'il pour y parvenir ? Il faut donc rester vigileant.

La solution d'un chiffrement incassable même par un ordinateur quantique

A chaque nouvelle arme une nouvelle défense. Ainsi la communauté cryptographique travaillent à développer une méthode de chiffrement dites "post-quantique" ( définition Wikipedia ici), exploitant les capacités de l'ordinateur quantique pour chiffrer les données et les rendre inviolable même avec un ordinateur quantique.

Depuis 2017, le NIST (National Institute of Standards and Technology) organise une compétition internationale dont l'objectif est d'identifier les meilleurs algorithmes cryptographiques post-quantiques et d'en faire un standard international. Et depuis 2020, il reste 3 finalistes retenues, dont aboutissement de nombreux travaux de recherche devrait aboutir vers 2022 pour un déploiement à horizon 2024.

Mais ce changement fondamental dans notre système de chiffrement mondial n'est pas sans risque pour les entreprises : d'une part il faut impérativement que les entreprises se mettent à jour le plus rapidement possible et mette la sécurité en priorité dès aujourd'hui.

Ensuite personne ne connaît le coût et les risques liés à cette transformation, il faut donc veiller à s'informer auprès des professionnels. Enfin vu la vitesse à laquelle l'ordinateur quantique arrive, il subsiste un risque que des cybercriminels disposent d'un ordinateur quantique avant même que des entreprises ne soient à jour.

En conclusion l'avenir de la cybersécurité est plus incertain que jamais et les risques sur l'avenir n'ont jamais été aussi grands.

Plus que jamais les entreprises doivent se protéger.

C'est pourquoi AODB propose un audit de sécurité digital permettant d'identifier les meilleures pistes de protection, les plus rapides et efficaces à mettre en oeuvre afin de diminuer vos risques et anticiper l'avenir.