Renaud Lifchitz
Renaud Lifchitz
Directeur Scientifique, Holiseum.
Expert en cybersécurité
et cryptographie quantique.
Expert en sécurité informatique dans les secteurs bancaire et télécom, Renaud Lifchitz s'intéresse aux protocoles de communication sans fil et à la cryptographie quantique. Il intervient dans de nombreuses conférences internationales. Lors de cet entretien, il explique quels sont les domaines d'activités dans lesquels les applications quantiques ont déjà leur utilité et celles à venir.
Entretien avec Renaud Lifchitz
Propos recueillis par Thu Trinh-Bouvier le 25 janvier 2021
“Dans notre quotidien, il y a déjà des applications quantiques, mais nous n’en avons pas forcément conscience”
Pouvez-vous vous présenter ?
Je m’appelle Renaud Lifchitz, j'ai 38 ans et je suis ingénieur de formation. J'ai suivi ma formation d'ingénieur à Télécom Nancy (anciennement ESIAL).
Dans le cadre de ma vie professionnelle, je suis expert en cybersécurité. Je mène des audits et des formations dans ce domaine. De plus, je forme des élèves ingénieurs au quantique à l’EPITA.
J'ai commencé à m'intéresser à l'informatique très tôt. Je me souviens avoir utilisé un ordinateur dès 5 ans. Étant matheux, j’ai exploré tous les aspects de la cryptographie et cela m'a amené à m'intéresser au quantique. Je ne me considère pas comme un professionnel du quantique. Je fais plutôt cela en amateur même si je m'y intéresse aussi à titre professionnel. Mais je ne suis pas quelqu'un, qui à proprement parler fait de la recherche dans le quantique.
Mes principaux centres d'intérêt sont l’étude de la partie algorithmique du calcul quantique et les applications liées à la cybersécurité.
Dans ce périmètre je distingue trois domaines :

La partie échange de clés qui est très utile pour la cybersécurité. Par exemple, faire des « QKD » (échanges de clés sécurisées entre 2 acteurs) pour ensuite utiliser le chiffrement conventionnel symétrique.

Il y a la partie offensive du quantique qui est l'algorithmique. Cette dernière permet de casser les codes notamment via l'algorithme de Shor et l'algorithme de Grover.

Et puis il y a la partie qui concerne la recherche. Cela consiste à tenter de trouver de meilleurs algorithmes grâce au quantique. Cela peut être pour la cryptographie mais aussi pour d'autres secteurs. Il s'agit ici de trouver des algorithmes non classiques, via le quantique, pour tenter de résoudre des problèmes que l’on n’arrive pas à résoudre avec les systèmes classiques.
Depuis quand vous intéressez-vous à ce sujet ?
Je m’intéresse à ce domaine depuis environ 7 à 8 ans.
Il y a 6 ans, dans le cadre professionnel, j’ai fait une de mes premières conférences sur le quantique et je me souviens que le sujet avait soulevé beaucoup de scepticisme. A l'époque, j'avais fait une démonstration en live d’un calcul quantique sur la puce opto-électronique de Bristol. J’avais fait cette conférence lors d'un séminaire sur la cybersécurité et mes confrères étaient très surpris. Ils ont trouvé ce sujet “bizarre”. Pour eux, c’était de la science-fiction et un peu trop ésotérique.
Maintenant que le thème est porté par les grands acteurs mondiaux du numérique, c'est devenu un sujet sérieux pour mes confrères spécialistes de la cybersécurité.

Et je constate également un intérêt plus important depuis qu’il existe des ordinateurs quantiques en ligne (ex. : IBM / D-Wave / Rigetti …).
Aujourd'hui, il y a énormément de moyens qui sont consacrés à l’informatique quantique.
De ce fait, il y a beaucoup de progrès dans ce secteur. Grosso modo, les prévisions que l'on avait prévues à une échelle de temps de 5 à 6 ans ont été réalisées ou sont en train de l'être. On avance globalement un peu plus vite que prévu.
Il y a beaucoup d'applications industrielles potentielles via le quantique et ce dans de nombreux secteurs. On parle du secteur de la cybersécurité mais il y a aussi celui de la santé.
Par exemple, dans la recherche de médicaments ou de la thérapie génique.
Le secteur de la finance aussi pour faire notamment des recherches de portefeuilles qui permettent de minimiser les risques boursiers et financiers des détenteurs de portefeuille d'actifs.
Les secteurs industriels sont aussi concernés. Ceux qui cherchent à optimiser des systèmes complexes que l'ordinateur classique ne peut résoudre espèrent que les technologies quantiques pourront répondre aux besoins. Par exemple, sur le thème de l'aérodynamisme. En effet, comment réduire la consommation de carburant dans l'aéronautique en réalisant des carlingues plus aérodynamiques ? Ces types de problèmes très coûteux en calcul pourraient être résolus beaucoup plus rapidement avec les systèmes quantiques.
Avez-vous une idée de l'échéance de ces avancées ?
Donner une échéance du développement de l'informatique est quelque chose de très complexe. C'est même sans doute la chose la plus complexe. C'est le point sur lequel il y a le plus de divergence.
Il y aura probablement deux bouleversements sur la partie cybersécurité qui sont liés à l'implémentation de deux algorithmes dont on a parlé c'est-à-dire l'algorithme de Shor et de Grover.
L'algorithme de Grover va menacer les systèmes de chiffrement symétrique. Par exemple, si Alice et Bob souhaitent discuter et donc utilisent la même clé pour chiffrer et déchiffrer, cet algorithme de Grover permettra de diviser la taille de la clé par deux. Et donc cela permet d'accélérer considérablement les calculs puisqu’aujourd’hui il y a beaucoup de clés sur internet qui sont des clés 128 bits.

Si on leur applique l'algorithme de Grover on passe d’une clé, en pratique, de 128 bits à une clé de 64 bits, donc à une vitesse de cassage de la clé qui sera multipliée par 2 puissance 64 ! Aujourd'hui, le record du monde de cassage de clé, à partir d’un système classique, est justement à 64 bits. Grâce à l'algorithme de Grover, les clés de 128 bits sont ramenées à 64 bits. Et donc à une taille que l'on sait pouvoir casser en un temps raisonnable sur des systèmes classiques. Comme l'algorithme de Grover ne nécessite pas un nombre important de qubits, on peut penser que d'ici une dizaine d'années, voire un petit peu moins, on sera en mesure de casser des systèmes de chiffrement symétrique. C'est donc une menace qui va quand même arriver relativement tôt dans l'univers de la cybersécurité.
Fort heureusement, on a démontré que l'algorithme de Grover était optimal. Donc, il suffira simplement de doubler la taille des clés actuelles pour se retrouver hors de portée des attaques de Grover puisqu'on ne pourra pas faire mieux que de diviser par 2 les tailles de clés.

En revanche, il y a une autre menace beaucoup plus problématique. C’est la menace sur les systèmes de chiffrement asymétrique. Ces derniers sont beaucoup plus critiques, car ils sont utilisés vraiment partout, notamment dans le cadre des systèmes dits “sensibles”. Par exemple, les paiements électroniques, les cartes bancaires. Ils utilisent en permanence les systèmes asymétriques comme RSA, ECDH ou ECDSA. Ils sont aussi utilisés pour l'administration des systèmes informatiques. Tout ce qui est administration d'un ordinateur se fait en général par un échange de clé asymétrique, une authentification asymétrique. C'est le cas de tous les protocoles SSH, ou de tout ce qui concerne la visite d'un site sécurisé en HTTPS. En effet, cela se fait aussi par échange de clé asymétrique avant de passer sur du symétrique.
Tous ces systèmes, « très sensibles », de paiement électronique, de commerce électronique, d'échange sécurisé, par exemple lorsque vous vous connectez à votre banque, ou quand vous échangez des mails sensibles, tout cela se trouve potentiellement cassable par l'algorithme de Shor ou ses dérivés.

Le problème de l'algorithme de Shor c'est que ce n'est pas une accélération quadratique. C’est une accélération exponentielle. Donc pour s’en protéger il ne suffira pas de doubler ou de tripler les tailles de la clé. Ici l'attaquant comme le défenseur sont au même niveau d'égalité.
Par exemple, si on décide de doubler les tailles de clé pour se protéger, l'attaquant a juste à doubler le nombre de qubits pour arriver à casser le système. Ce n'est pas tout à fait aussi simple mais à un coefficient près la situation est bien celle-ci. C’est pourquoi, cette menace est beaucoup plus grave car on n'a pas de solution de secours.
On ne peut pas se limiter à doubler les tailles de clé pour se protéger de l’algorithme de Shor.
Ce qui veut dire qu'il faut vraiment changer les algorithmes de cryptographie. C’est une menace qui viendra un peu après au même moment que celle liée à l’algorithme de Grover car pour implémenter du Shor il faut pas mal de qubits.
On estime qu'il faut à peu près trois fois la taille de la clé en utilisant des systèmes optimisés. Par exemple, pour casser aujourd'hui RSA 1024, il faudrait 3000 qubits au minimum de très grande fiabilité. Même si nous n’en sommes pas encore là, il va falloir se préparer à cette menace qui peut arriver dans 15 ou 20 ans.
Cela nécessite de changer fondamentalement tous les algorithmes utilisés dans le cadre de la confiance numérique. Et aujourd’hui, aucun remplaçant n'est désigné pour parer à cette menace.
Mais, la recherche approfondie concernant « la cryptographie post-quantique » est très fertile. Ce que l’on appelle « le post-quantique » est une période qui en fait arrive en même temps que l'avènement du quantique.
L’objet de la recherche « post-quantique » est de trouver des algorithmes de remplacements pour les systèmes asymétriques. Se tient depuis 8 ans, une conférence annuelle sur le sujet, la « Post Quantum Conference ».
Il y a 6 catégories d'algorithmes qui potentiellement pourront remplacer les systèmes asymétriques. On a des candidats mais le problème c'est que les algorithmes sont assez complexes. Ils nécessitent beaucoup de mémoire avec des tailles de clé très grandes généralement. Le principal problème, c’est que nous n’avons pas de preuve qu'ils résisteront aux algorithmes des ordinateurs quantiques. On ne travaille que sur des hypothèses car personne ne sait précisément décrire dans sa généralité ce qu’est une attaque quantique. Qu’est-ce qu'elles vont cibler ? C'est gênant car si on commence à déployer ce type d'algorithme partout dans tous les systèmes (les cartes bancaires, les serveurs sur Internet…) et qu’on se rend compte que les algorithmes ne résistent pas il faudra tout annuler et de nouveau trouver autre chose à déployer pour se protéger en un temps record.
Donc ce domaine de recherche est critique.
Parmi les bons candidats il y a NTRU par exemple qui permet de faire de l’asymétrie ce qui est plutôt rare pour du post-quantique. Mais on n'a pas la certitude qu'il tiendra face à ces attaques quantiques. Il y a donc ici un très gros enjeu au niveau mondial.

Pour l'instant, beaucoup d'entreprises n'ont pas une compréhension précise des conséquences concrètes que l’informatique quantique va voir sur leur business.
Dans le domaine de la cybersécurité par exemple, des entreprises qui font des systèmes de certificat électronique commencent à s’y plonger. Elles s'y intéressent mais du point de vue de la vision stratégique. Sachant que les certificats peuvent radicalement changer d'ici 10 ans, elles sont en demande de conseils pour savoir quels sont les bons et les mauvais choix à faire à moyen et long terme.
Mais de manière générale, pour l'instant, c'est plus un sujet de recherche et développement, de communication et d'évangélisation.
Selon vous, est-ce que le système quantique va remplacer l'informatique classique ?
Pour moi c'est assez clair que le quantique restera un système spécialisé et non un système informatique généraliste comme celui que l’on retrouve dans un ordinateur classique. Avec ce dernier on peut jouer, on peut faire du traitement de texte ou lancer des calculs. Ce sont des tâches qui n'ont aucun rapport les unes avec les autres. Un ordinateur classique fait tourner un logiciel système d'exploitation en permanence tel que Windows qui est déployé partout dans le monde, y compris dans les systèmes industriels embarqués comme les distributeurs de billets par exemple. Un ordinateur classique est fait pour être généraliste et exécuter plein de tâches différentes. En revanche, un système quantique ne peut pas être généraliste. Il n'est là que pour faire tourner des portions de code spécialisées. Je suis catégorique là-dessus. Il est absolument impossible de faire tourner un système générique et généraliste comme un système d'exploitation sur un ordinateur quantique. Ce dernier sera juste un auxiliaire comme le sont les co-processeurs. Ce terme de co-processeur est de moins en moins utilisé, mais il y a 20 ans on utilisait des co-processeurs, c'est-à-dire des puces que l'on mettait à côté du processeur. Les deux étaient liés et exécutaient des tâches spécifiques. Un peu comme aujourd'hui votre carte graphique est un coprocesseur du processeur classique. Elle est liée au traitement des tâches graphiques lourdes qui nécessite le calcul de millions de pixels : elle traite les couleurs, les calculs des rotations, des scènes...tout ce que fait très mal un processeur classique.
On peut voir les puces quantiques comme des co-processeurs uniquement dédiés à des tâches de calcul lourd avec des algorithmes spécifiques.
Aujourd'hui, quand on regarde le nombre d’algorithmes quantiques, il n'y en a pas tant que ça.
Il existe une page dédiée à cela qui s'appelle : Quantum Algorithm Zoo.
Il y en a une bonne centaine mais des algorithmes vraiment utiles il y en a que deux ou trois dont ceux que j’ai cités précédemment.
Donc, pour le moment on ne peut pas faire grand-chose en termes d'algorithme sur une puce quantique. C'est donc très puissant mais que pour des cas très spécifiques. On pourra ainsi faire des appels ponctuels lorsqu’on voudra sous-traiter des tâches particulières.

Il faudra s’attendre à voir un système quantique comme quelque chose relié à un ordinateur classique et qui l’aidera à faire certaines tâches très spécifiques de façon très optimisée.
De toute façon, de par sa nature, un ordinateur quantique doit être totalement isolé d'un environnement externe.
Bien sûr, cela dépend de sa technologie : s'il est basé sur des photons ou sur des ions ou sur des boucles supraconductrices. Mais de manière générale, il a besoin d'avoir une isolation thermique, une isolation électromagnétique. Car même le champ magnétique terrestre perturbe la puce quantique. Il lui faut aussi une isolation gazeuse : donc pas de circulation d'air et pas d'entrée de sortie de chaleur ou autre. Clairement, ce n'est pas quelque chose qu'on pourra avoir dans son salon. En tout cas, pour le moment, on en est très loin. Les systèmes qui fonctionnent à la température ambiante sont quasiment inexistants et ceux qui existent ne sont pas efficaces. Ce sont donc des choses qui seront toujours dans des environnements contrôlés. C'est en partie pour cela que la puce quantique se développe sur le Cloud.
Il faudra bien attendre 20 ou 30 ans pour que quelqu'un puisse avoir un ordinateur quantique chez lui dans le cas où cette option serait envisagée.
Quels sont les pays qui sont les plus en avance dans le domaine de l'informatique quantique ?
Ce qui est surprenant c'est qu'il y a déjà des applications quantiques industrielles dans notre quotidien mais les gens n’en ont pas conscience. Aujourd'hui, des systèmes informatiques utilisent déjà le quantique, notamment pour les échanges de clé quantique, par exemple lors de communications sécurisées via la fibre optique quantique. Et il y a des pays qui sont très à la pointe sur le sujet.
Je pense à la Suisse où le secret bancaire a facilité de déploiement de cette technologie car les Suisses sont très sensibles à la notion de confidentialité et donc de sécurité des transactions. Et il y a un autre critère qui a facilité l'implémentation des systèmes quantiques de sécurisation et de communication dans ce pays, c'est la proximité géographique des banques entre elles. La Suisse est un petit pays où les banques sont très proches les unes des autres ce qui se prête très bien à l’utilisation de la fibre optique quantique car les photons ne peuvent pas voyager à plus de 100 km.
En Suisse, on est typiquement dans un pays où les banques sont à moins de 100 km les unes des autres. Donc, il y a un réseau pair-à-pair assez développé de communication quantique entre les banques pour échanger des transactions. Cela se fait déjà depuis une dizaine d'années.
Les réseaux de communication quantique se trouvent aussi aux États-Unis et en Chine pour des applications industrielles mais aussi entre universités. Pour faire des échanges de travaux de recherche. Cela est donc utilisé au quotidien.
La Chine, les États-Unis et la Suisse sont les leaders en ce qui concerne le déploiement de la communication quantique mais bien évidemment aussi au niveau de la recherche.
La Chine est très active et elle annonce très régulièrement de nouvelles expérimentations. Par exemple, elle a annoncé de grandes avancées sur la communication quantique via satellite. Elle dit avoir réussi à mettre en place des communications quantiques au-delà de 100 km : entre des stations au sol et un satellite. Mais il est difficile de vérifier la véracité de ces annonces.
Ensuite, il y a d’autres pays de second plan comme l'Inde et l'Australie où il y a de la recherche mais plus dans le domaine théorique. Dans ces pays il y a des gros budgets qui sont dédiés aux universités pour la recherche sur le quantique.
Le budget de recherche en Europe est lui assez faible. On est donc un peu en retard.
Il n'y a pas d'équipe vraiment reconnue à part en Suisse qui travaille sur ce sujet.
Aux États-Unis et en Chine, les budgets atteignent des milliards alors qu'en Europe c'est plutôt des budgets en dizaines ou centaines de millions.
Y a-t-il des personnalités dans le monde qui portent particulièrement le sujet ?
C’est un domaine où tout est très segmenté : il y a d’un côté les physiciens théoriciens puis il y a les gens chargés de l'implémentation au niveau ionique, l'implémentation au niveau photonique ou l'implémentation au niveau des boucles supraconductrices. Vous avez aussi des informaticiens qui vont réfléchir à tout ce qui est algorithmique quantique. Ils se demandent ce que l'on peut développer avec l'informatique quantique mais ce ne sont pas des spécialistes ni de la physique, ni des implémentations matérielles.
Il y a Nicolas Gisin, en Suisse, qui fait énormément de recherche sur le sujet.
En France, on a également des experts mais plutôt dans le domaine de la physique théorique.
Comment vous projetez-vous dans le quantique dans les années à venir ?
En ce qui concerne mon domaine professionnel, l'informatique quantique s'inscrit dans une spécialisation de notre activité en cybersécurité.
Est-ce que ce domaine va croître dans les années à venir ? Pour l'instant dans mon activité les demandes concernant ce sujet sont relativement faibles. Cela fait l'objet d'une ou deux sollicitations par an. Et ce sont rarement des choses très concrètes.

Mais à mesure que les entreprises comprendront les enjeux, c'est un domaine qui va croître.
Les entreprises vont s’y intéresser quand ils comprendront que la menace n'est pas si éloignée. La question est : est-ce que l'on va réussir à anticiper certaines évolutions notamment concernant la protection des systèmes informatiques ? Il faudrait s'y préparer progressivement pour ne pas être désemparé le jour où l’on annoncera le premier cassage de clé.
Connaissez-vous des méthodes de vulgarisation sur le sujet ?
J'ai énormément lu de littérature sur le sujet. Parfois je m'y suis repris à deux fois, notamment pour préparer mes supports de cours pour les étudiants car le domaine est assez complexe.
Cela dépend aussi du secteur du quantique qui vous intéresse : le côté matériel ou le côté physique quantique. En physique quantique il y a énormément de choses qui existent mais c'est très généraliste et pas du tout appliqué à l’informatique quantique.
Et pour comprendre les systèmes physiques il faut être déjà être un cador en physique pour maîtriser ces choses-là.
En algorithmique, il y a un bon livre en français sur le sujet : « Calculs et algorithmes quantiques : Méthodes et exemple ». En français il existe peu de choses.
Pouvez-vous partager une expérimentation que vous avez mené dans le domaine de l’informatique quantique ?
J’ai pu implémenter sur un vrai ordinateur quantique un code correcteur d'erreur et l’inverser. C'est-à-dire qu’à partir du résultat d’un code correcteur d'erreur, j’ai trouvé quelle est la donnée à modifier pour que le code correcteur d'erreur soit valide. C’est de l’inversion d'algorithme. Aujourd'hui on ne sait pas implémenter les algorithmes cryptographiques quantiques par manque de nombre de qubits. On ne sait pas encore implémenter les vrais algorithmes. Je me suis donc intéressé à le faire sur des mini codes correcteurs d'erreur, notamment sur des CRC8 et les résultats sont bien ce que l’on attend.
Publications et recommandations de Renaud Lifchitz :
- Ses publications :
https://speakerdeck.com/rlifchitz/
Et notamment : « Age post-quantique : quels sont les risques, comment se préparer ? »
https://speakerdeck.com/rlifchitz/age-post-quantique-quels-sont-les-risques-comment-se-preparer

- Première démo live d'un calcul quantique (puce opto-électronique de l'université de Bristol) lors d'une conférence cybersécurité en 2014 :
https://speakerdeck.com/rlifchitz/quantum-computing-in-practice-and-applications-to-cryptography

- 2018 : implémentation et cassage d'un CRC-8 sur une puce quantique réelle d'IBM :
https://speakerdeck.com/rlifchitz/reversing-cryptographic-primitives-using-quantum-computing

- Livre en français « assez » accessible et ne nécessitant pas trop de prérequis sur les algorithmes quantiques :
https://amazon.fr/gp/product/2759803953
 
Calcul quantique
Présentation
Représentation
postulat
qubit
mesure
portes quantiques
combinaison d'états
rôle de l'observateur
- exercice
Algorithmes
Deutsch-Jozsa
Shor
Simon (à venir)
Grover (à venir)
Communication
téléportation
Bennett-Brassard (à venir)
Paradoxes
Présentation
Les lois de la pensée
0 et 1
outils de lecture
problème non résolu
La ritournelle des menteurs
en texte
en graphisme
en musique
Valeur de vérité
I am a bugged program
Pour en savoir +
Frise chronologique
Paroles d'experts
Eleni Diamanti
Nicolas Gisin
Renaud Lifchitz
Sophie Laplante
À propos de l'auteure
Regards croisés
Jean-Louis Fréchin
Etienne Krieger
Références