Comment la gendarmerie se prépare à la transition post-quantique

Un risque qui n’a rien de théorique à l’échelle de temps de la justice

Timothée Mordacq, chef de la section de la gestion des identités à l’ANFSI explique l'enjeu : « les risques du calcul quantique envers les algorithmes asymétriques classiques sont maintenant bien connus. RSA et ECC seront vulnérables dans les années à venir. Pour les algorithmes symétriques, on estime que pour rester sécurisé, il faudra passer sur des clés à 256 bits de sécurité ».

Dès lors qu’un attaquant disposera d’un ordinateur quantique fiable capable d’exécuter l’algorithme de Shor, un doute existera sur sa capacité à falsifier une clé ou accéder à des données chiffrées. « J’aime bien l’expression moissonner maintenant et décrypter plus tard. Le risque de décryptage est bien réel et, dès maintenant, notamment sur la signature électronique des procédures pénales. La justice a un temps qui ne se compte pas en mois, mais en années. On peut avoir besoin de récupérer des signatures qui ont été traitées il y a 5 ou 6 ans, voire plus », relève Timothée Mordacq. Car à cette échelle de temps, le risque de contrefaçon de ces signatures est réel si rien n'est fait. Pour l'authentification, le risque est moins immédiat, mais c’est une thématique que l’ANFSI devra aussi traiter.

Parmi les défis auxquels l’instituation doit faire face figure le poids de l’existant. L’agence gère plus de 320 applications à maintenir, soit des milliers de machines virtuelles en production et des bases de données associées ainsi que des serveurs sous divers OS.

« Même si nous pouvons nous appuyer sur le data center du service de traitement de l'information de la gendarmerie, le travail est colossal », explique Timothée Mordacq qui ajoute : « il ne suffit pas d’avoir des algorithmes compatibles, ce qui est déjà le cas, il faut prendre en compte l'ensemble de la chaîne. Les matériels physiques doivent être à jour, les algorithmes déployés sur les serveurs et enfin que les clients avec lesquels on communique puissent communiquer en post-quantique. C’est tout cet ensemble qui doit être PQC Ready ».

Priorité à la crypto-agilité

Bien identifiée à la gendarmerie comme un projet majeur, cette transition vers la cryptographie post-quantique (PQC) va nécessiter une approche structurée et agnostique des algorithmes. C'est la position de l’ANFSI qui compte privilégier la crypto-agilité : « il y a des algorithmes standardisés, mais on n'est pas à l'abri que certains soient cassés. Ça a été vu il y a quelques mois. Il faudra être prêt à basculer rapidement d'un algorithme à l'autre », explique Timothée Mordacq.

Las, relève-t-il, « vu le parcours du combattant que représente aujourd’hui le déploiement d’une nouvelle chaîne de certification et de la faire reconnaître par l'ensemble des partenaires sans perte de connexion, ça s'annonce comme un défi. »

En droite ligne avec les recommandations de l’ANSSI, le chef d’escadron souligne le besoin de se livrer à un inventaire exhaustif de tous les actifs cryptographiques de l’organisation : « nous avons commencé cet inventaire et ce n'est pas juste pour cocher une case. En creusant, on découvre toujours des cas d'usage qui n'avaient pas été identifiés, des certificats autosignés, des clés qui ne sont pas forcément dans les standards actuels. Naturellement, il y a l’infrastructure de gestion des clés qui génère les certificats, il y a des services de révocation CRL et OCSP et les cartes à puce qui sont délivrées à chaque agent, soit 250 000 cartes en circulation ».

Vient ensuite la mise en place d’un plan de migration. Celui-ci va se dérouler en 4 phases. La première phase est d’ores et déjà en cours. Il s’agit de la préparation et de l’évaluation. A partir de l’inventaire cryptographique sont évaluées les solutions qui permettront de remplacer ceux qui doivent l’être. L’approche va changer, car si RSA pouvait tout faire, demain, il faudra cloisonner les algorithmes en fonction des usages. RSA sera remplacé par ML-DSA (Module-Lattice-Based Digital Signature Algorithm) pour la signature, par ML-KEM pour l’encapsulation de clé, et encore d’autres pour le chiffrement.

Dimensionnement et gestion de l'existant

Un autre écueil à éviter va porter sur le dimensionnement des infrastructures. On parle beaucoup de la puissance de calcul qui va être nécessaire pour faire tourner ces nouveaux algorithmes en production : « nous avons déjà réalisé des tests en tant qu’autorité de certification, ce qui nous a permis d’évaluer à la fois les performances et l’impact de ces algorithmes, notamment si on place un certificat hybride sur les cartes à puce. Or il s’est avéré que le conteneur n’était pas suffisamment grand. Les cartes ont été dimensionnées pour l’algorithme RSA et devront être remplacées, ce qui ne se fera pas du jour au lendemain », explique Timothée Mordacq.

Lorsque les expérimentations auront été menées de façon concluante, viendra le temps du déploiement des pilotes. Il faudra notamment mettre à jour des HSM avec du matériel qualifié, déployer les certificats hybrides sur les cartes.

La phase 3 de généralisation des pilotes et de transition sera suivie par le décommissionnement des infrastructures patrimoniales : « il ne faudra pas sous-estimer cette étape finale, car si on laisse traîner des autorités de certification classiques dans les magasins de confiance, et que l'on a un ordinateur quantique viable, celui-ci pourra forger des certificats contrefaits et potentiellement s'authentifier sur les serveurs qui auraient ces reliquats. Il sera important de faire le ménage une fois la migration réalisée ».

Les défis de l'interopérabilité

Pour l’heure, quelques points doivent être résolus. Des algorithmes ont été standardisés, mais il faudra disposer de boîtiers cryptographiques HSM qualifiés pour que l’ANFSI puisse aller plus loin : « actuellement, nos autorités de certifications sont sur des boitiers qualifiés car elles doivent délivrer des certificats qualifiés. Sans boîtiers qualifiés, nous ne pourrons pas passer à l’étape suivante. De la même manière, il faudra disposer de cartes à puce qualifiées ».

En outre, si Timothée Mordacq s’est réjoui de l’annonce d’une première carte à puce PQC Thales certifiée Critère Commun par l’ANSSI en octobre 2025, ce n’est qu’un jalon. Il faudra disposer de cartes qualifiées avant de voir celles-ci distribuées aux gendarmes…

Un autre point soulevé par le militaire, le besoin sur la standardisation de l’approche hybride : « il existe plusieurs types d’hybridation et quand on teste, il y a toujours le doute de partir sur la bonne voie. Il y a les certificats "Catalyst" où l’on ajoute l’algorithme dans les extensions non critiques du certificat RSA classique. C’est comme cela que nous avons mené nos tests sur carte à puce ».

Mais l’expert évoque aussi ces certificats composites, où l’on remplace la clé publique et la signature par une concaténation classique et constante, ou encore les certificats caméléons, où l'on prend un certificat RSA et puis l'on réalise un différentiel, ou après, deux chaînes purement séparées : « ces différents modes d’hybridation posent encore beaucoup de questions, avec un risque de chaos s’il n'y a pas de normalisation. Seule une normalisation pourra garantir l'interopérabilité à grande échelle ». conclut le chef d’escadron Timothée Mordacq.

Propos recueillis lors de l’European Cyber Week 2025 à Rennes.