Protection des données : Thales prépare les passeports électroniques à résister à la menace quantique

Bien qu'aucun ordinateur quantique ne soit actuellement assez puissant pour rendre réellement obsolètes les mécanismes actuels de protection, il convient de se préparer au mieux à cette menace, en particulier pour l'intégrité des documents d'identité et, en premier lieu, les passeports électroniques. C'est l'objectif du projet "Post-Quantum Cryptography for electronic Machine-Readable Travel Documents" (PQC4eMRTD) lancé début 2025. 

Un projet coordonné par Infineon

Financé par l'Union européenne, dans le cadre de son programme Pour une Europe numérique, le projet est coordonné par l'Allemand Infineon, spécialisé dans la fabrication de semi-conducteurs. Il embarque également Thales, CryptoNext Security, le Barcelona Supercomputing Center et l'Institut de droit comparé de la Faculté de droit de Ljubljana. Le consortium travaillera en étroite collaboration avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) et son homologue allemand, le Bundesamt für Sicherheit in der Informationstechnik (BSI). 

"Pour bien comprendre l'impact de la menace quantique, il faut rappeler qu'un passeport électronique contient une puce. C'est un coffre-fort qui permet de protéger les données personnelles des citoyens", explique Anthony Bord, responsable des programmes d’innovation au sein de l’entité Thales Cyber & Digital, sollicité par L'Usine Digitale. Par données personnelles, on peut entendre "selon le document et le pays", "la date de naissance, la version numérisée de la carte d'identité, les empreintes digitales, le scan de l'iris". Pour prouver l'authenticité du passeport, cette puce contient "des preuves cryptographiques", appelées "signatures". "On peut voir la cryptographie, c'est-à-dire un ensemble d'algorithmes, comme la clé de ce coffre-fort", schématise l'expert. 

Aujourd'hui, cette protection repose sur de la cryptographie dite "classique". Or, un jour, des ordinateurs quantiques seront capables de casser ces algorithmes et donc "mettre à mal les systèmes de vérification". Les acteurs malveillants pourront ainsi accéder aux données personnelles et les utiliser à des fins malveillantes (usurpation d'identité...). 

Alimenter les normes de standardisation 

D'où la création du "PQC4eMRTD" pour "travailler sur l'intégration de nouveaux algorithmes quantiques dans le schéma global cryptographique de ces passeports", détaille Anthony Bord. En pratique, il s'agit d'alimenter la normalisation des passeports électroniques, tâche dont s'occupe l'Organisation de l'aviation civile internationale (OACI), une agence des Nations unies. Ainsi, "l'un des objectifs de ce consortium et qui a été poussé par l'Europe, c'est finalement de maintenir et de renforcer cette position de leadership de l'Europe dans cette standardisation", note-t-il. 

Du côté des Etats-Unis, le National Institute of Standards and Technology (NIST) – l'agence fédérale américaine chargée d'établir des normes dans divers domaines (cybersécurité, ingénierie...)  – a publié, en août 2024, trois normes de cryptographie post-quantique. En parallèle, il a activé le système automatisé de test de validation cryptographique pour ces algorithmes. Ce qui permet aux entreprises de tester et de certifier leurs implémentations. 

La "menace quantique" : entre imminence et incertitude temporelle

La "menace" quantique se distingue par l’incertitude quant à son échéance, les experts étant divisés sur le moment où un ordinateur quantique pourra compromettre les protections actuelles. "Certains parlent de 10 ans, d'autres experts, un peu plus pessimistes, parlent de 15 ans ou de 20 ans, relate Anthony Bord. Par contre, le consensus global est que cette menace va arriver, c'est-à-dire que la cryptographie classique va pouvoir être cassée par cette nouvelle génération d'ordinateurs quantiques."

Autre problématique et pas des moindres : les cybercriminels pourraient déjà avoir une longueur d'avance et avoir les capacités de compromettre les futurs algorithmes. "C'est pour cette raison que les agences nationales, comme l'Anssi et le BSI, recommandent de recourir à l'hybridation : combiner les algorithmes classiques, éprouvés depuis 30 ans, avec les nouveaux algorithmes PQC", conclut l'expert.