Le cadenas qui protège votre connexion bancaire repose sur un problème mathématique vieux de cinquante ans. Les ordinateurs quantiques pourraient le résoudre. Toute l’industrie tech se prépare à changer les serrures avant que la clé ne tombe entre de mauvaises mains.
Un coffre-fort qui tient grâce aux maths
Chaque fois qu’un petit cadenas s’affiche dans la barre d’adresse du navigateur, un certificat TLS entre en jeu. Ce certificat garantit deux choses : la connexion est chiffrée et le site est bien celui qu’il prétend être. Derrière ce mécanisme, deux familles d’algorithmes dominent depuis des décennies : RSA et les courbes elliptiques (ECC).
Leur force repose sur la difficulté de factoriser de très grands nombres ou de résoudre un problème de logarithme discret. Un ordinateur classique mettrait des milliards d’années à casser une clé RSA de 2 048 bits. Le système fonctionne parce que personne ne dispose de la puissance de calcul nécessaire pour trouver la solution. C’est un peu comme cacher un grain de sable sur une plage de la taille de Jupiter : théoriquement trouvable, pratiquement impossible.
L’algorithme de Shor change la donne
En 1994, le mathématicien Peter Shor, alors chercheur aux Bell Labs, a démontré qu’un ordinateur quantique suffisamment puissant pourrait factoriser ces grands nombres en quelques heures. Son algorithme exploite les propriétés de la mécanique quantique, la superposition et l’intrication, pour tester un nombre colossal de possibilités simultanément.
Aucune machine actuelle ne peut exécuter l’algorithme de Shor à une échelle utile. Les processeurs quantiques les plus avancés d’IBM et de Google comptent quelques milliers de qubits physiques. Casser une clé RSA-2048 en nécessiterait plusieurs millions, selon les estimations publiées par le NIST, l’agence fédérale américaine qui définit les standards cryptographiques. Le consensus scientifique situe cette échéance entre 2030 et 2040, mais personne ne peut la garantir.
Le vrai danger porte un nom : « harvest now, decrypt later ». Un attaquant, qu’il s’agisse d’un État ou d’un groupe criminel, peut intercepter et stocker du trafic chiffré aujourd’hui, puis le déchiffrer dans cinq ou dix ans quand la technologie quantique sera mûre. Des données bancaires, médicales ou diplomatiques chiffrées en 2026 pourraient devenir lisibles en 2035. Selon un rapport du département américain de la Sécurité intérieure publié en 2022, certaines agences de renseignement stockeraient déjà du trafic chiffré à grande échelle dans cette optique.
Le NIST a posé les fondations
Face à cette menace, le NIST a lancé en 2016 un concours international ouvert à toute la communauté scientifique. L’objectif : sélectionner de nouveaux algorithmes cryptographiques résistants aux ordinateurs quantiques. 82 propositions ont été soumises par des équipes du monde entier. Après huit ans d’évaluation, trois standards ont été finalisés en août 2024.
Le premier, ML-KEM (anciennement Kyber), sert à échanger des clés de chiffrement. Le deuxième, ML-DSA (anciennement Dilithium), permet de signer numériquement des documents. Le troisième, SLH-DSA (anciennement SPHINCS+), offre une alternative de signature basée sur des fonctions de hachage. Selon le NIST, ces trois algorithmes « peuvent et doivent être déployés dès maintenant ».
Leur force repose sur des problèmes mathématiques différents de RSA. ML-KEM et ML-DSA utilisent la cryptographie sur réseaux euclidiens (lattice-based cryptography). Concrètement, il s’agit de trouver le vecteur le plus court dans un espace à plusieurs centaines de dimensions. Même un ordinateur quantique ne dispose d’aucun raccourci connu pour résoudre ce type de problème. SLH-DSA, de son côté, s’appuie sur des fonctions de hachage dont la solidité est connue et éprouvée depuis des décennies.
À lire aussi
La migration a déjà commencé
Cloudflare, qui gère le trafic d’une large portion du web mondial, a activé la cryptographie post-quantique en disponibilité générale dès septembre 2023. Selon les chiffres publiés par l’entreprise, plus de la moitié du trafic web humain transitant par ses serveurs utilise désormais un chiffrement post-quantique pour la couche de transport. Google a intégré le support de ML-KEM dans Chrome, et Apple a déployé le protocole PQ3 dans iMessage en mars 2024, selon Wired.
Mais protéger le canal de communication ne suffit pas. Il faut aussi sécuriser les certificats eux-mêmes. C’est le défi qu’a relevé Google fin février 2026 avec les Merkle Tree Certificates (MTC), une architecture qui compresse les signatures post-quantiques volumineuses (2 500 octets pour ML-DSA) dans un certificat de 64 octets. Le procédé utilise les arbres de Merkle, une structure de données inventée en 1979 par le cryptographe Ralph Merkle, déjà présente dans la blockchain et dans Git.
Cloudflare teste actuellement cette technologie avec environ 1 000 certificats en conditions réelles. L’IETF, l’organisme qui définit les standards techniques d’Internet, a créé un groupe de travail dédié, baptisé PLANTS, pour coordonner la transition.
Ce que ça change pour les utilisateurs
Pour un internaute lambda, la transition sera transparente. Les navigateurs et les systèmes d’exploitation absorberont les changements via des mises à jour classiques. Chrome, Firefox et Safari intégreront progressivement les nouveaux algorithmes sans que personne n’ait à modifier un mot de passe ou à changer de certificat manuellement.
Pour les entreprises, la situation est plus complexe. Le NIST a fixé un calendrier clair dans son document IR 8547 : les algorithmes vulnérables seront dépréciés d’ici 2030 et retirés des standards fédéraux d’ici 2035. Les systèmes critiques, défense, finance, santé, devront migrer en priorité. Selon le cabinet McKinsey, le coût global de cette migration pour l’industrie se chiffrerait en dizaines de milliards de dollars sur la prochaine décennie.
Le vrai enjeu technique réside dans la taille des clés. Une clé ML-KEM pèse environ 1 500 octets, contre 32 pour une clé ECC actuelle. Sur un réseau mobile ou un objet connecté, cette différence de taille ralentit les connexions et consomme davantage de bande passante. Les ingénieurs de Google et Cloudflare travaillent activement à comprimer ces données, comme le montrent les MTC.
Une course contre une horloge invisible
Personne ne sait quand un ordinateur quantique sera capable de casser RSA. Certains chercheurs estiment que cela n’arrivera pas avant 2040. D’autres, comme le physicien chinois Jian-Wei Pan, dont l’équipe a battu plusieurs records de suprématie quantique selon Nature, pensent que cela pourrait survenir plus tôt. L’incertitude elle-même justifie l’urgence : une fois la menace concrétisée, il sera trop tard pour protéger les données déjà interceptées.
Le NIST résume la situation en une phrase sur sa page officielle : « Les organisations devraient commencer à appliquer ces standards dès maintenant pour migrer leurs systèmes vers une cryptographie résistante au quantique. » Google, Apple, Cloudflare et Signal ont déjà franchi le pas. Le reste de l’industrie suit, plus ou moins vite. La prochaine étape majeure sera la standardisation des MTC par l’IETF, dont les premières spécifications sont attendues courant 2026.
