Sciences & Technologies · Cryptographie

La menace quantique a déjà eu lieu

Rubrique : SciencesLecture 17 minNiveau : IntermédiaireMise à jour 06 · 2026

Quelque part, dans un centre de données dont personne ne connaîtra jamais l'adresse, dorment des copies de vos communications chiffrées. Des câbles sous-marins interceptés, des sauvegardes diplomatiques siphonnées, des dossiers médicaux aspirés en transit. Personne ne peut les lire — aujourd'hui. C'est précisément le calcul : on ne vole pas ces données pour les lire maintenant, on les vole pour les lire plus tard, le jour où une machine d'un genre nouveau saura défaire en quelques heures des serrures mathématiques conçues pour résister des milliards d'années. Ce jour porte un nom dans le milieu de la sécurité : le Q-Day. Et le paradoxe qui structure tout cet article tient en une phrase : pour une partie de nos secrets, le Q-Day appartient déjà au passé.

Le Financial Times consacrait récemment une longue enquête à cette idée que « la révolution quantique est plus proche qu'on ne le croit ». La formule est juste mais incomplète. Ce qui est proche, c'est la machine. Ce qui est déjà là, c'est la menace — parce qu'en cryptographie, contrairement à presque tous les autres domaines technologiques, l'arme rétroagit. Comprendre pourquoi exige de descendre un instant dans la mécanique, puis de remonter vers ce qu'elle implique : pour les États, pour la finance, pour la simple idée qu'on se fait d'un secret.

I — Mécanique

Une serrure qui compte sur la paresse de l'univers

Presque toute la sécurité numérique repose sur une asymétrie d'effort. Multiplier deux très grands nombres premiers est trivial ; retrouver ces deux nombres à partir de leur produit est, pour un ordinateur classique, désespérément long. Le chiffrement RSA, qui protège vos connexions bancaires, fonctionne ainsi : la serrure est facile à fermer, pratiquement impossible à crocheter. Non pas impossible en droit — impossible en temps. Les meilleurs algorithmes classiques mettraient plus longtemps que l'âge de l'univers à factoriser une clé moderne. La sécurité n'est pas une muraille : c'est un pari sur la lenteur du monde.

Or ce pari a été perdu sur le papier dès 1994. Cette année-là, le mathématicien Peter Shor démontre qu'une machine exploitant les lois quantiques — superposition, interférence — pourrait factoriser ces grands nombres non pas un peu plus vite, mais exponentiellement plus vite. Là où l'ordinateur classique essaie les combinaisons une à une, l'ordinateur quantique fait, en simplifiant, interférer toutes les réponses possibles entre elles jusqu'à ce que les mauvaises s'annulent et que la bonne émerge, comme des vagues qui se renforcent. L'algorithme de Shor ne crochète pas la serrure : il révèle que la serrure n'a jamais été une serrure, seulement une porte que personne n'avait encore les bras assez longs pour ouvrir.

Pendant trente ans, la démonstration est restée théorique, faute de machine. C'est cette clause de sauvegarde qui est en train d'expirer. Les processeurs quantiques d'IBM, de Google, de Quantinuum ou des laboratoires chinois comptent désormais leurs qubits par centaines, et surtout — c'est le tournant des années 2024-2026 — ils ont commencé à franchir le seuil de la correction d'erreurs, le verrou qui séparait le jouet de laboratoire de la machine utile.

IBM CONDOR (2023) 1 121 MACHINES ~2030 (VISÉ) 10⁵ CASSER RSA-2048 ~2·10⁷ 10⁰ 10² 10⁴ 10⁶ 10⁸ QUBITS PHYSIQUES (ÉCHELLE LOG) QUATRE ORDRES DE GRANDEUR MANQUANTS
Figure 1L'écart entre les machines actuelles et le seuil de menace cryptographique se mesure en ordres de grandeur, pas en années-machine : environ vingt millions de qubits physiques seraient nécessaires pour casser une clé RSA-2048 en quelques heures, selon l'estimation de référence de Gidney et Ekerå (2019), depuis revue à la baisse.
II — Le verrou

Mille qubits fragiles pour en faire un qui tienne parole

Pourquoi quatre ordres de grandeur d'écart, alors, si la menace est si proche ? Parce qu'un qubit est l'objet le plus susceptible de l'univers physique. Une vibration, un photon égaré, une fluctuation thermique infinitésimale, et l'état quantique s'effondre — on dit qu'il décohère. Un qubit isolé ment au bout de quelques microsecondes. La parade, connue depuis les années 1990, consiste à tisser ensemble des centaines ou des milliers de qubits physiques bruyants pour constituer un seul qubit logique fiable, où les erreurs des uns sont détectées et compensées par les autres — un chœur où chaque chanteur est faux, mais dont l'ensemble chante juste.

Longtemps, ce tissage a aggravé le mal qu'il prétendait soigner : ajouter des qubits ajoutait plus d'erreurs que la correction n'en retirait. Le basculement est récent. Fin 2024, la puce Willow de Google a démontré pour la première fois qu'en agrandissant le code correcteur, le taux d'erreur du qubit logique diminuait exponentiellement — la correction gagnait enfin la course contre le bruit. C'est ce point d'inflexion, davantage que tout record de nombre de qubits, qui a déplacé les estimations sérieuses du Q-Day de « peut-être jamais » vers « vraisemblablement dans la décennie 2030 ». Les feuilles de route d'IBM et de Quantinuum visent des centaines de qubits logiques avant 2030, et les premières machines tolérantes aux fautes à grande échelle au début de la décennie suivante.

La question n'est plus de savoir si l'ordinateur quantique cryptographiquement pertinent existera, mais si vos secrets vivront plus longtemps que votre cryptographie. — Formule attribuée, sous des variantes, à Michele Mosca (Institute for Quantum Computing, Waterloo)

Restons honnêtes sur l'incertitude : ces feuilles de route ont déjà glissé par le passé, et certains physiciens éminents jugent encore le mur de l'ingénierie infranchissable à l'échelle requise. Mais l'argument central de cet article ne dépend pas de la date exacte. Il dépend d'une asymétrie temporelle que la cryptographie est seule à connaître.

III — Rétroaction

Voler aujourd'hui, lire demain : le casse déjà commis

Dans le monde physique, une arme future ne menace pas le présent : le coffre-fort percé en 2035 protège parfaitement en 2026. Dans le monde numérique, cette intuition est fausse, pour une raison d'une banalité désarmante : copier coûte presque rien. Un adversaire patient — et les services de renseignement sont des institutions de la patience — peut intercepter dès aujourd'hui des flux chiffrés qu'il ne sait pas lire, les stocker pour quelques dollars le téraoctet, et attendre que la machine arrive. La doctrine porte un nom officiel dans les documents de la NSA et de l'ANSSI : harvest now, decrypt later — moissonner maintenant, déchiffrer plus tard.

2026 Interception du trafic chiffré 2026 → Stockage massif (coût quasi nul) Q-DAY Déchiffrement rétroactif Q-DAY + Exploitation des secrets attente Secrets d’État, génomes, brevets : confidentialité requise > 25 ans.
Figure 2La doctrine « harvest now, decrypt later » : l'interception et le stockage sont déjà en cours ; seule la dernière étape attend la machine. Pour toute donnée dont la valeur survit au Q-Day, le vol est rétroactivement consommé au moment de l'interception.

Faites le calcul pour vos propres secrets. Un numéro de carte bancaire expire dans trois ans : le quantique ne le menace pas. Mais un génome ne change jamais. Un secret industriel vit vingt ans. Une identité d'agent de renseignement, une vie entière. Des archives diplomatiques restent explosives un demi-siècle. Pour toutes ces données, si elles ont transité chiffrées sur un réseau surveillé entre hier et le Q-Day, la confidentialité est déjà perdue — il ne manque que la cérémonie de l'ouverture. C'est en ce sens précis que la menace quantique a déjà eu lieu : elle n'attend pas la machine, elle attend seulement la lecture.

Le cryptographe Michele Mosca a donné à ce raisonnement la forme d'une inégalité devenue canonique. Soit X la durée pendant laquelle vos données doivent rester secrètes, Y le temps qu'il vous faudra pour migrer toute votre infrastructure vers une cryptographie résistante, et Z le délai avant l'arrivée de la machine. Si X + Y > Z, vous êtes déjà en retard — et pour la plupart des grandes organisations, où Y se compte en cinq à dix ans et X en décennies, l'inégalité est vérifiée même avec un Q-Day optimiste.

DONNÉE CHIFFRÉE EN 2026 secret : 10 ans MIGRATION POST-QUANTIQUE durée : 6 ans Q-DAY ? exposé 2026 2030 2034 2038 2042 Si X + Y > Z, le retard est déjà pris.
Figure 3L'inégalité de Mosca appliquée à un cas type : une donnée chiffrée en 2026 devant rester secrète dix ans, une migration entamée en 2028 et durant six ans, un Q-Day hypothétique en 2033. La zone hachurée à droite du Q-Day est la fenêtre d'exposition — elle existe avant même que la machine n'existe.
IV — Inventaire

Ce qui tombe, ce qui plie, ce qui tient

La menace n'est cependant pas uniforme, et c'est ici que le débat public déraille le plus souvent. L'algorithme de Shor ne casse pas « le chiffrement » : il casse une famille précise de serrures, celles dites asymétriques — RSA, les courbes elliptiques, l'échange de clés Diffie-Hellman. C'est-à-dire, malheureusement, l'infrastructure de confiance de l'internet entier : les certificats qui authentifient les sites, les signatures qui valident les mises à jour logicielles, les poignées de main qui ouvrent chaque session sécurisée. Et, détail savoureux, les signatures qui sécurisent les blockchains — Bitcoin repose sur exactement la courbe elliptique que Shor dévore.

Le chiffrement symétrique, lui — AES, qui protège le contenu une fois la session établie —, ne subit qu'une attaque quadratique (l'algorithme de Grover) : il suffit de doubler la taille des clés pour restaurer la marge. Et surtout, les remplaçants existent. En 2024, après huit ans de compétition internationale, le NIST américain a standardisé les premiers algorithmes post-quantiques — Kyber pour l'échange de clés, Dilithium pour les signatures —, fondés non plus sur la factorisation mais sur des problèmes de réseaux euclidiens qu'aucun algorithme quantique connu n'entame. Signal, Chrome, Apple ont déjà commencé à les déployer en silence.

CASSÉ PAR SHOR RÉSISTE (AJUSTÉ) RSA SIGNATURES, TLS ECC / ECDSA BLOCKCHAINS, CARTES Diffie-Hellman ÉCHANGE DE CLÉS AES-256 SYMÉTRIQUE SHA-2 / SHA-3 EMPREINTES Kyber / Dilithium POST-QUANTIQUE NIST L’asymétrique tombe, le symétrique plie (Grover : doubler les clés suffit).
Figure 4Cartographie de la casse : l'algorithme de Shor anéantit la cryptographie asymétrique classique, pendant que le chiffrement symétrique et les fonctions de hachage survivent moyennant des clés plus longues. Les standards post-quantiques du NIST (2024) fournissent les remplaçants — reste à les déployer partout.
Le vrai goulet

Le problème n'est plus mathématique mais logistique. La cryptographie est enfouie dans des milliards d'objets — terminaux de paiement, satellites, implants médicaux, automates industriels — dont certains ne seront jamais mis à jour. La transition Y2K avait une date butoir connue et un correctif trivial ; la transition post-quantique a une échéance inconnue et exige de réécrire la confiance elle-même.

V — Renversement

Le secret comme denrée périssable

On présente d'ordinaire l'ordinateur quantique comme une révolution à venir, dont il faudrait guetter l'aube — et le Q-Day comme son point zéro. Tout cet article suggère le renversement inverse : en matière de secret, la révolution opère à rebours du temps. Chaque progrès de la machine ne menace pas seulement les communications futures ; il dévalue rétroactivement le stock entier des communications passées qui dorment dans les entrepôts du renseignement. Le Q-Day ne sera pas un événement mais une révélation : le jour où l'on apprendra ce qui, depuis des années, n'était déjà plus secret.

Il y a là une leçon qui dépasse la cryptographie. Nous avons vécu un demi-siècle avec l'idée que le chiffrement transformait le secret en propriété mathématique — éternelle, donc. Le quantique nous rappelle que le secret n'a jamais été qu'une denrée périssable dont on ignorait la date limite. Bien chiffrer, désormais, ce n'est plus fermer une porte : c'est estimer combien de temps une porte doit tenir, contre des bras dont on ne connaît pas encore la longueur. Les organisations sérieuses ont déjà tiré la conséquence — l'inventaire cryptographique, la crypto-agilité, la migration entamée sans attendre la preuve. Les autres découvriront, un matin de la décennie 2030, que leurs archives parlaient depuis longtemps.

Bibliographie

  • Peter W. Shor, « Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer », SIAM Journal on Computing, 1997.
  • Michele Mosca, « Cybersecurity in an Era with Quantum Computers: Will We Be Ready? », IEEE Security & Privacy, 2018.
  • Craig Gidney & Martin Ekerå, « How to Factor 2048 Bit RSA Integers in 8 Hours Using 20 Million Noisy Qubits », Quantum, 2021.
  • Scott Aaronson, Quantum Computing Since Democritus, Cambridge University Press, 2013.
  • NIST, Post-Quantum Cryptography Standards (FIPS 203, 204, 205), 2024.
  • ANSSI, Avis sur la migration vers la cryptographie post-quantique, 2022–2025.
  • Olivier Ezratty, Understanding Quantum Technologies, édition 2025.
In Extenso · Juin 2026
Les citations rapportées méritent vérification avant toute reprise. Les estimations chiffrées (qubits requis, horizons de feuilles de route) reflètent l'état du débat à la date de publication.