La menace de l'informatique quantique est déjà là : Naoris Protocol

David Carvalho, fondateur et PDG de Naoris Protocol, explique que les acteurs étatiques sont déjà prêts à utiliser l'informatique quantique pour des attaques.

Résumé

• David Carvalho du protocole Naoris explique comment l'informatique quantique menace le système financier
• La SEC a récemment tiré la sonnette d'alarme sur les dangers de cette technologie
• Les acteurs étatiques recueillent déjà des informations que les ordinateurs quantiques peuvent éventuellement compromettre.

La menace de l'informatique quantique n'est plus théorique. Les acteurs étatiques à travers le monde se positionnent déjà pour utiliser cette technologie potentielle, qui peut facilement briser les protocoles de sécurité traditionnels et les blockchains, afin de compromettre les systèmes financiers de leurs rivaux.

La menace est si visible que la Commission des valeurs mobilières et des échanges a publié un rapport sur ses conséquences potentielles. L'un des projets mentionnés dans le rapport était le Protocole Naoris, un maillage de cybersécurité qui utilise une "blockchain post-quantique" et une IA distribuée. Son fondateur et PDG, David Carvalho, a parlé à crypto.news des mesures que l'industrie doit prendre pour faire face à cette menace.

crypto.news : Quand pensez-vous que le premier ordinateur quantique pertinent sur le plan cryptographique émergera-t-il ? Quels sont les risques pour la sécurité numérique telle que nous la connaissons ?

David Carvalho : Quiconque vous dit exactement quand il s'agit soit de deviner, soit de vendre quelque chose. Les délais crédibles le placent quelque part dans la prochaine décennie ; cependant, les régulateurs visent 2028 pour une résilience quantique obligatoire. La partie effrayante n'est pas la date, mais combien de temps la migration prend réellement. Il y a une hypothèse naïve selon laquelle vous pouvez simplement mettre à jour l'algorithme. En réalité, nous parlons de réoutiller tout le système nerveux de la confiance numérique : PKI, HSM, signature de code, TLS, VPN, blockchains, rails bancaires - toute l'infrastructure. Cela représente des années d'ingénierie, de tests et de coordination. Une fois qu'un ordinateur quantique cryptographiquement pertinent existe, tous les mécanismes qui protègent l'identité numérique, l'argent et les signatures logicielles deviennent vulnérables. Cela ouvre la porte à l'usurpation d'entité, à la falsification de transactions et aux mises à jour signées compromises.

CN : Quels sont les risques uniques de l'informatique quantique pour les réseaux blockchain ?

DC : Les blockchains sont particulièrement vulnérables puisque la plupart dépendent de l'ECDSA ou de l'EdDSA pour les signatures, et l'algorithme de Shor rend ceux-ci trivials à casser une fois que les ordinateurs quantiques arriveront. Les clés privées perdent leur confidentialité, les portefeuilles peuvent être vidés, les validateurs peuvent être usurpés et les ponts détournés. Le problème de la réutilisation des adresses aggrave ce risque : une fois qu'une clé publique est révélée, cette adresse devient une cible dans un monde post-quantique. Les UTXO de Bitcoin sont particulièrement exposés. Les ponts et les configurations de garde basées sur MPC qui semblent décentralisées reposent souvent sur des hypothèses cryptographiques classiques, créant des points de défaillance uniques. Si les identités des validateurs peuvent être forgées, les attaquants n'ont pas besoin de 51 % de participation ou de puissance de hachage : ils se contentent d'usurper les bonnes parties et le système les accepte comme légitimes.

CN : Le rapport PQFIF suggère que seulement ~3% des banques soutiennent l’informatique post-quantique aujourd'hui. Quelle est la faisabilité pour les institutions de moderniser les systèmes hérités avec des protocoles post-quantiques ?

DC : C'est réalisable grâce à une adoption progressive et par couches. Les solutions modernes post-quantique peuvent fonctionner comme des superpositions—essentiellement des maillages de confiance décentralisés reposant sur l'infrastructure existante. Ces systèmes attestent des dispositifs, des applications, des clés et des flux de données sans nécessiter de réécritures complètes de la pile, rendant la transition plus pratique pour les institutions disposant de systèmes hérités étendus.

CN : Dans quelle mesure les blockchains et les systèmes de garde d'aujourd'hui sont-ils vulnérables aux attaques Harvest-Now-Decrypt-Later (HNDL) ? Les acteurs étatiques accumulent-ils des données blockchain cryptées ?

DC : HNDL est absolument réel et se produit en ce moment. La stratégie consiste à collecter le trafic chiffré, les clés au repos, les fichiers de sauvegarde et les données signées pour une décryption future. Bien que les données en chaîne soient publiques, les journaux de garde, les sauvegardes de portefeuille, le trafic API chiffré et les communications internes des serveurs représentent des cibles de grande valeur. Les États-nations disposant de ressources et de patience accumulent certainement ces données.

CN : Si le jour Q arrivait demain, que se passerait-il pour Bitcoin, Ethereum et le système bancaire ?

DC : La chronologie est presque irrélevante car les attaques de type Harvest-Now-Decrypt-Later sont déjà en cours. Des gouvernements hostiles et des groupes de cybercriminels accumulent des données chiffrées - dossiers médicaux, transactions financières, renseignements classifiés, communications privées - convaincus que les ordinateurs quantiques finiront par les déchiffrer.

Si le jour Q arrivait demain, le Bitcoin et l'Ethereum subiraient des vols sélectifs ciblant tout ce qui est lié à des clés publiques exposées. Nous assisterions probablement à des réorganisations de chaînes, à des identités de validateurs falsifiées et à des échanges gelant les retraits pendant la vérification. La DeFi entrerait en mode crise. Les banques feraient face à des échecs de PKI causant des tempêtes de révocation, des échecs de session TLS et des pertes de connexion Gateway. Ce ne serait pas apocalyptique, mais cela créerait des semaines de perturbations sévères.

CN : Y a-t-il des efforts pour dialoguer avec les régulateurs américains ou les groupes de travail sur les risques liés à l'informatique quantique ?

DC : Il y a un engagement actif dans les discussions sur les politiques publiques et les normes concernant l'agilité cryptographique et l'assurance décentralisée. L'espace blockchain résistant aux quantiques a gagné en reconnaissance dans les cercles réglementaires - une soumission d'un analyste indépendant sur le site de la SEC a cité des protocoles blockchain post-quantiques comme des modèles pour protéger les actifs numériques contre les menaces quantiques, marquant la première fois que des protocoles blockchain ont été explicitement référencés dans ce contexte pour la protection de trillions d'actifs numériques.

Le secteur a également été représenté lors de rassemblements de haut niveau tels que le Forum sur la richesse des bureaux familiaux de la 1640 Society et le Sommet sur l'innovation des volcans, où les discussions ont porté sur la manière dont la blockchain résistante aux quantiques et la sécurité distribuée peuvent protéger les actifs numériques de haute valeur et les infrastructures critiques face à l'escalade des cyber-risques.

CN : En quoi la cybersécurité décentralisée diffère-t-elle des réseaux de validateurs conventionnels ?

DC : La différence fondamentale réside dans la cible de validation. Les validateurs traditionnels ne valident que les transactions, en supposant que les dispositifs et le code qui les exécutent sont fiables, ce qui constitue un angle mort significatif. Les approches avancées valident l'environnement lui-même : dispositifs, logiciels, identités et flux de données avant qu'ils ne puissent transiger. Cela crée un maillage de confiance qui atteste constamment des points de terminaison en utilisant la cryptographie post-quantique et l'IA distribuée. Chaque validation réussie est enregistrée de manière cryptographique, fournissant une preuve judiciaire de confiance intégrée dans la chaîne. En essence, les blockchains prouvent l'état des choses ; les systèmes de nouvelle génération prouvent que les acteurs créant cet état sont légitimes.

CN : Quelles tendances en matière de quantum ou de cryptographie les experts sous-estiment-ils ?

DC : L'accent mis sur les algorithmes éclipse le véritable défi : la complexité de la migration, y compris la gestion des clés, les cycles de vie des certificats et les mises à niveau des HSM. Il y a aussi une sous-estimation de la durée de la phase hybride - nous allons probablement faire fonctionner des systèmes post-quantiques et classiques en parallèle pendant des décennies, ce qui nécessite une planification opérationnelle minutieuse. La PQC à elle seule ne fournira pas de sécurité si les points de terminaison sont compromis ; une attestation continue des appareils, du code et des pipelines de données est essentielle. En regardant vers l'avenir, l'IA et l'informatique quantique convergent, et les agents d'IA entraînés quantiquement fonctionneront finalement plus rapidement que les temps de réponse humains, changeant fondamentalement le paysage des menaces.