La nouvelle carte de Mastercard : plus à l’abri des attaques quantiques ?

Les ordinateurs quantiques représentent une menace unique pour de nombreux aspects des technologies de l’information modernes. En particulier, de nombreux systèmes cryptographiques pourraient être compromis au cas où un acteur malveillant entrerait en possession d’un ordinateur quantique capable.

Mastercard a l’intention de garder une longueur d’avance à cet égard. Il a lancé une nouvelle carte de crédit sans contact qui, selon lui, est insensible à certains types d’attaques quantiques.

À l’épreuve du piratage ?

La carte est basée sur les nouvelles normes de l’industrie d’EMVco, un organisme technique qui travaille dans l’espace de paiement sécurisé. Connues sous le nom de spécifications du noyau sans contact EMV, elles décrivent les fonctionnalités des dispositifs de paiement tels que les guichets automatiques et les terminaux de point de vente pour traiter les transactions. La spécification comprend une nouvelle méthode de communication « Secure Channel » entre la carte et le lecteur qui vise à se protéger contre les attaques courantes telles que les écoutes clandestines, les relais et les attaques de type « man-in-the-middle ». Les nouvelles cartes sont destinées à être compatibles avec le matériel de paiement existant sur le terrain.

Le principal point fort des nouvelles cartes, cependant, réside dans leur fonctionnement, cryptographiquement parlant. Traditionnellement, les systèmes de cartes de paiement se sont appuyés sur la cryptographie à clé publique, en utilisant des méthodes telles que l’algorithme RSA toujours populaire. Comme expliqué dans notre introduction au chiffrement à clé publique, la théorie est simple. Une clé privée est composée de deux nombres premiers et la clé publique est leur produit. Chiffrez un message à l’aide de la clé publique, et il ne peut être déchiffré qu’avec les nombres premiers de la clé privée. Le problème pour les attaquants est que même s’ils connaissent la clé publique, il est très difficile de déterminer la clé privée, simplement parce qu’il est difficile de trouver deux grands facteurs premiers d’un nombre encore plus grand.

Ordinateur quantique IBM, avec 50 qubits. Votre carte de crédit est en sécurité, pour l’instant.

Autrement dit, à moins que vous n’ayez l’aide d’un ordinateur quantique. Un ordinateur quantique avec un nombre suffisant de qubits peut exécuter l’algorithme de Shor pour trouver rapidement des facteurs premiers de très grands nombres. Cela peut être utilisé pour révéler la clé privée pour une grande variété d’algorithmes de chiffrement. Cela ouvrirait tout, des systèmes financiers mondiaux aux documents cryptés des gouvernements et des entreprises du monde entier. Le seul avantage que nous avons actuellement est qu’il n’existe pas encore d’ordinateur quantique avec suffisamment de qubits intriqués pour casser nos algorithmes couramment utilisés. Cependant, les experts pensent que ce n’est qu’une question de temps, et même le gouvernement américain évolue rapidement vers d’autres méthodes de cryptage quantique sécurisées.

Le nouveau plastique de Mastercard va donc s’orienter vers de nouveaux algorithmes qu’il dit « quantum-resistant », et donc non soumis à ces attaques. Cela impliquera également l’utilisation de longueurs de clé plus longues pour augmenter encore la robustesse de la méthode de chiffrement. Cependant, la facilité d’utilisation est également importante, de sorte que le nouveau système maintiendra le processus d’authentification à moins de 0,5 seconde.

Fait intéressant, la documentation d’EMVco indique que les nouvelles cartes incluront la cryptographie à courbe elliptique (ECC) à des fins d’authentification. L’ECC traditionnel n’est pas réellement considéré comme sécurisé quantique. En fait, pour les longueurs de clé couramment utilisées, ECC est probablement légèrement plus facile à casser que RSA avec un ordinateur quantique.

Il pourrait donc s’agir simplement d’une fanfaronnade marketing de Mastercard. Il semblerait téméraire pour l’un des plus grands processeurs de paiement au monde de déployer une nouvelle technologie qui était déjà connue pour être incapable de résoudre le problème énoncé. Au lieu de cela, il est peut-être plus probable que Mastercard utilise une nouvelle variante d’ECC potentiellement sécurisée contre les attaques informatiques quantiques typiques. Diverses idées ont germé dans ce domaine, même si certaines se sont récemment révélées peu sûres. Peut-être qu’ils se concentrent sur un autre algorithme, mais prendront également en charge ECC. Mais alors comment arrêter les attaques de dégradation ?

Dans l’ensemble, c’est une bonne chose que des entreprises comme Mastercard recherchent déjà la sécurité quantique. Le déploiement d’une telle infrastructure prend beaucoup de temps, après tout. De plus, une fois qu’un ordinateur quantique est opérationnel entre les mains d’un acteur malveillant, il sera bien trop tard pour agir. Cependant, dans le même temps, de nouvelles méthodes de chiffrement doivent être rigoureusement explorées pour s’assurer qu’elles offrent effectivement la sécurité dont nous avons besoin. Espérons que les nouvelles cartes ont fait l’objet d’une telle diligence raisonnable.

Image de titre : « Carte de crédit avec de l’argent Ver3 » de ccPix.com