[TRIBUNE de Carlos Moreira, SEALSQ] Alors que nous nous rapprochons d’une nouvelle ère où convergent l’intelligence artificielle (IA) et l’informatique quantique, cette intersection dynamique est une opportunité d’innovation sans précédent. Mais dans même temps nous faisons face à un risque cryptographique profond que l’on ne peut plus ignorer. Dans ce paysage, nous pensons que la synergie entre le quantique et l’IA n’est rien moins que transformatrice dans l'industrie. Une analyse de Carlos Moreira le PDG de SealsQ (filiale de WiseKey)  (*)

On sait que l’informatique quantique pourra accélérer les modèles d’IA à des vitesses sans précédent, permettant de nouvelles optimisations qui résolvent des problèmes complexes en quelques secondes plutôt qu’en quelques jours. On peut imaginer par exemple des simulations d’interactions moléculaires qui révolutionnent la découverte de médicaments ou la modélisation du climat qui prédit les changements environnementaux avec une précision jamais égalée. Les découvertes dans la science des matériaux pourraient conduire à des percées dans le stockage d'énergie ou les supraconducteurs. Ce ne sont pas des rêves lointains. Ils sont à portée de main à mesure que le matériel quantique évolue.

Mais voici le revers: cette puissance menace les fondements de nos systèmes de sécurité actuels. Les racines cryptographiques classiques comme le RSA (initiales du nom de ses inventeurs, Rivest, Shamir et Adleman) et l’ECC (Elliptic Curve Cryptography) sont désormais assiégées à partir d’algorithmes quantiques tels que celui de Shor (**) qui pourraient prendre en compte de grands nombres de manière exponentielle.

Nous sommes d’ailleurs déjà confrontés à des attaques de type “harvest now, decrypt later" - “récolter maintenant, décrypter plus tard” - où les adversaires collectent des données cryptées aujourd'hui, en attendant que la technologie quantique mûrisse.

Et les crypto-monnaies ? Leur dépendance à la cryptographie de la courbe elliptique les met carrément en danger si nous ne nous adaptons pas rapidement.

Les rapports se multiplient aujourd’hui sur les progrès de la technologie quantique – un nombre plus élevé de qubits, des taux d’erreur améliorés et du matériel évolutif soutenu par des investissements mondiaux massifs dans la R&D.

Dans cette optique, le “Q-Day”, c'est-à-dire le moment où les ordinateurs quantiques briseront la cryptographie à clé publique classique, se rapproche inéluctablement.

La sécurité devient centrale dans le quantique

Dans cette ère quantique qui arrive, la sécurité n’est plus un complément, elle devient la pierre angulaire de la confiance, de l’innovation et de l’adoption de ces nouvelles technologies de calcul.

Les agents d’IA et les systèmes autonomes ont besoin d’identités de confiance et de canaux de communication sûrs pour fonctionner de manière fiable. Sans cette confiance, ils deviennent des vulnérabilités plutôt que des actifs.

Si l’on considère notamment les appareils IoT, les satellites et les infrastructures critiques, si leurs primitives cryptographiques racines échouent sous un assaut quantique, les conséquences pourraient être catastrophiques – des chaînes d’approvisionnement perturbées, une sécurité nationale compromise ou des données personnelles exposées.

Quant on réfléchi à la cybersécurité, par exemple dans les semi-conducteurs, les leçons tirées du passé montrent que la défense proactive est toujours moins chère que la récupération réactive. Actuellement, les réglementations mondiales tentent de relever le défi, offrant un cadre indispensable.

Les normes de cryptographie post-quantique (PQC) du NIST, désormais codifiées dans les normes FIPS 203 (ML-KEM pour le chiffrement), 204 (ML-DSA pour les signatures) et 205 (SPHINCS+ pour le hachage) procurent des alternatives robustes aux algorithmes vulnérables.

Aux États-Unis, par exemple, la spécification CNSA 2.0 exige que le PQC pour les systèmes de sécurité nationale, tandis que le décret exécutif 14144, avec ses récentes modifications, établit des échéanciers pour l'intégration du PQC dans diverses catégories de produits.

En Europe, la feuille de route de l’Union Européenne exige que les États membres engagent des transitions de PQC d’ici la fin de 2026, les infrastructures critiques devant être entièrement conformes d’ici 2030.

Ces différents textes sont une force positive poussant les industries vers la résilience, mais ils mettent également en évidence l’urgence. La conformité n’est pas facultative, c’est un impératif pour la survie dans un monde quantique.

Pourtant, la voie à suivre est pleine de défis. Ainsi, la mise en œuvre de la PQC de manière sécurisée exige une vigilance contre les attaques de canaux latéraux, la falsification et les vulnérabilités du micrologiciel qui pourraient saper même les algorithmes les plus forts.

Les contraintes de performance et de puissance sont notamment particulièrement aiguës dans les appareils contraints, comme les capteurs dans les villes intelligentes ou les nœuds IoT distants, où chaque milliwatt compte.

Au-delà, atteindre l'interopérabilité entre diverses réglementations mondiales, normes et d’un vaste éventail de systèmes réglementaires ajoute des couches de complexité. La sécurité de la chaîne d’approvisionnement et la provenance du matériel sont ici essentielles, en particulier dans un contexte de tensions géopolitiques croissantes, favorable à une introduction de portes dérobées.

Visibilité et actions collectives, un impératif avec l’arrivée du quantique

Et peut-être de manière encore plus urgente, il s’agit de gagner en visibilité sur les risques du “récolte-maintenant” dans les flux de données existants pour prioriser les protections. C’est pourquoi nous avons besoin d’une action collective maintenant.

A ce niveau, débuter par l’audit et l’inventaire de l’utilisation cryptographique, c’est à dire identifier où se cachent les RSA (qui date de 50 ans déjà, soit dit en passant), ECC ou ECDSA, en particulier dans les appareils à longue durée de vie et les données sensibles est une action d’importance.

Il s’agit aussi de soutenir la recherche et l’outillage pour durcir les implantations en se concentrant sur la résistance du canal latéral, les tests complets et la vérification automatisée. Et de planifier des chemins de migration à l’aide d’approches hybrides PQC-classiques, en tirant parti du matériel prêt pour les mises à jour du micrologiciel afin d’assurer la flexibilité.

Sans oublier d’engager des normes et des dialogues réglementaires pour harmoniser les échéanciers et les exigences, en évitant un paysage trop fragmenté. Et surtout, d’investir dans des bases matérielles sécurisées de confiance (RoT) et de PKI avec un support PQC intégré pour ancrer les systèmes.

Chez SealsQ, nous transformons ces principes en pratiques au travers de quatre piliers d’action : fixer des dispositifs à la périphérie avec des puces quantiques résistantes, mettre en place une infrastructure de certificats racinaires RoT et PQC à travers des PKI, assurer des communications sécurisées pour l’IoT, les satellites, la personnalisation et l’intégrité de la chaîne d’approvisionnement et enfin fournir des identités de confiance et sécuriser les transactions pour les agents d’IA, en leur accordant une autonomie tout en assurant la responsabilité.

Au centre de cette problématique, se trouve notre circuit Quantum Shield QS7001, la première puce sécurisée de l'industrie exécutant le PQC au niveau du matériel (voir ici notre article). Notre objectif est d’avoir des données de PQC cryptées sur des périphériques sécurisés, des passerelles, des routeurs et une connectivité par satellite, avec un provisionnement en direct ou en usine pour déjouer les portes dérobées et la falsification.

(*) Synthèse et adaptation d’un discours prononcé par Carlos Moreira à l’occasion de l’ouverture de la conférence IQT Quantum + AI Summit qui s’est tenue à New York du 19 au 21 octobre 2025.

(**) L'algorithme de Shor (du nom de son inventeur Peter Shor présenté en 1994) factorise les grands nombres et calcule les logarithmes discrets qui constituent la base des systèmes de cryptographie largement utilisés aujourd'hui tels que RSA et l'ECC avec une vitesse aujourd’hui inégalée avec des ordinateurs classiques même très puissants.