Apple ajoute au service de messagerie instantanée iMessage un nouveau protocole cryptographique post-quantique nommé PQ3, conçu pour défendre le cryptage contre les attaques quantiques.
iMessage est la plate-forme de communication par défaut sur les systèmes d’exploitation iOS et macOS, avec une base d’utilisateurs de près d’un milliard.
L’une des principales fonctionnalités d’iMessage est la prise en charge du cryptage de bout en bout (E2EE) pour garantir que la communication reste privée entre l’expéditeur et le destinataire même si un tiers intercepte le trafic.
L’informatique quantique menace les schémas de chiffrement existants avec une fissuration presque instantanée. Des applications de messagerie comme Signal ont pris des mesures pour renforcer leurs défenses en ajoutant des algorithmes résistants aux quantiques approuvés par le NIST qui seraient sécurisés pendant plusieurs décennies dans le futur.
Cette mesure protège à la fois l’échange de communications actuel ainsi que les interceptions qu’un tiers peut avoir stockées au fil des ans en attendant une solution de décryptage – le scénario dit « récolter maintenant, décrypter plus tard ».
Apple affirme que son nouveau protocole PQ3 offre une protection contre les menaces informatiques quantiques, que la société appelle la sécurité de niveau 3.
« Avec un cryptage résilient aux compromis et des défenses étendues contre les attaques quantiques même hautement sophistiquées, PQ3 est le premier protocole de messagerie à atteindre ce que nous appelons la sécurité de niveau 3-fournissant des protections de protocole qui surpassent celles de toutes les autres applications de messagerie largement déployées », lit-on dans l’annonce d’Apple.
« À notre connaissance, PQ3 possède les propriétés de sécurité les plus solides de tous les protocoles de messagerie à grande échelle au monde. »
Apple n’échange pas la cryptographie à courbe elliptique (ECC) contre PQ3, mais implémente plutôt un modèle hybride qui combine les deux protocoles, également adoptés par Signal.
Cela garantit que PQ3 reste robuste contre les attaques existantes pour lesquelles les algorithmes ECC se sont avérés fiables, ainsi que contre les futurs adversaires utilisant l’informatique quantique.
PQ3 intègre pour ses besoins cryptographiques post-quantiques l’algorithme Kyber, qui est soutenu par la communauté mondiale de la cryptographie et reconnu par le NIST comme un choix solide.
Le nouveau mécanisme crée des clés de cryptage pour une messagerie sécurisée au début d’une conversation, même si le destinataire est hors ligne, une approche connue sous le nom d’établissement de clé initiale.
Une innovation significative au sein de PQ3 est son mécanisme de saisie périodique post-quantique, une première du genre pour les protocoles de messagerie cryptographique à grande échelle.
Ce mécanisme régénère fréquemment de nouvelles clés résistantes aux quantiques, garantissant une sécurité maximale équilibrée avec un faible impact sur l’expérience utilisateur.
Cette fonctionnalité permet de récupérer des compromissions de clés, garantissant que les conversations en cours retrouvent leur statut sécurisé en générant de nouvelles clés de chiffrement qui ne peuvent pas être dérivées de clés antérieures compromises.
Le président de Signal, Meredish Whittaker, a déclaré qu’ils envisageaient également une fonctionnalité similaire, mais ont décidé de ne pas la mettre en œuvre jusqu’à ce qu’une solution plus mature soit conçue.
L’introduction du PQ3 par Apple apporte des niveaux élevés de sécurité des communications à un grand nombre de personnes et établit une norme de l’industrie à suivre pour les autres, il s’agit donc sans aucun doute d’un développement important.