- Le PDG de ZeroTier prévient que les adversaires récoltent déjà des données d’authentification cryptographique chiffrées pour un futur déchiffrement quantique.
- Google vise 2029 pour la migration post-quantique, citant les attaques de type « stocker maintenant, déchiffrer plus tard » comme une menace immédiate et crédible.
- Ethereum a lancé un plan de migration post-quantique, mais Bitcoin et les principales bourses crypto n’ont pas encore pris d’engagement.
Le PDG de ZeroTier, Andrew Gault, affirme que les attaquants quantiques collectent déjà aujourd’hui des données de réseau crypto chiffrées, bien avant qu’un ordinateur quantique n’existe pour les décoder.
Gault, qui a passé une décennie à financer des startups de matériel quantique, estime que l’industrie protège la mauvaise cible.
L’accent mis sur les clés de portefeuille, soutient-il, ignore une stratégie plus discrète et plus dangereuse déjà en cours.
Les adversaires récoltent dès maintenant des données d’authentification en direct, les stockent à moindre coût et attendent que la capacité quantique rattrape son retard.
Le PDG de ZeroTier met en garde contre la stratégie « Récolter maintenant, déchiffrer plus tard »
Gault dirige actuellement la société de réseau ZeroTier et a cofondé la société d’investissement deep-tech 7percent Ventures.
Son portefeuille comprend la startup britannique d’informatique quantique Universal Quantum. Ce parcours le place exceptionnellement près à la fois de la menace et de l’infrastructure ciblée.
« La vulnérabilité la plus dangereuse du système financier n’est pas les données stockées, ce sont les données qui circulent entre les institutions en ce moment », a déclaré Gault à CoinDesk.
Il est allé plus loin, affirmant que les équipes de sécurité ont été formées pour protéger les données au repos, mais que la stratégie de l’adversaire a changé.
« Ils sont patients, ils ont du stockage, et ils constituent une bibliothèque du trafic chiffré d’aujourd’hui pour le déchiffrer dès que la capacité quantique franchira le seuil », a-t-il ajouté. Cette accumulation silencieuse, prévient-il, est déjà en cours sur les réseaux crypto.
L’équipe de sécurité de Google est parvenue à la même conclusion en mars. L’entreprise a fixé 2029 comme date limite interne pour achever une migration vers la cryptographie post-quantique.
Rédigée par le vice-président de l’ingénierie de sécurité de Google et un ingénieur en cryptographie senior, l’annonce a confirmé que « la menace contre le chiffrement est pertinente aujourd’hui avec les attaques de type stocker maintenant, déchiffrer plus tard ».
Google a également repriorisé son modèle de menace interne autour des services d’authentification et des signatures numériques, ce qui correspond directement à ce que Gault a signalé.
La même recherche Google Quantum AI qui a ébranlé Bitcoin plus tôt cette année a révélé qu’un ordinateur quantique suffisamment puissant pourrait dériver une clé privée à partir d’une clé publique exposée en environ neuf minutes. Cependant, Gault affirme que cette découverte oriente toujours l’industrie vers la mauvaise conversation.
Le PDG de ZeroTier pointe la couche d’authentification comme la véritable exposition
Citi a chiffré ce risque en février. Une attaque quantique sur la connexion d’une seule banque américaine du top 5 au service Fedwire Funds pourrait déclencher entre 2 000 et 3 300 milliards de dollars de dommages économiques.
Cela équivaut à une baisse potentielle de 10 % à 17 % du PIB réel des États-Unis. Le Global Risk Institute estime la probabilité d’un ordinateur quantique cryptographiquement pertinent d’ici 2034 entre 19 % et 34 %.
Pour les marchés crypto, la surface exposée est plus large que les seuls portefeuilles. Les preuves de pont inter-chaînes, les paquets d’authentification API des bourses, les transactions signées dans les mempools publics, et le trafic de signature en canal secondaire entre le stockage à froid et les bureaux de négociation se situent tous sur le même spectre de vulnérabilité.
CoinShares estimait en février que seulement environ 10 200 BTC sont suffisamment concentrés pour faire bouger les marchés s’ils sont volés via une attaque de clé de portefeuille.
La préoccupation de Gault vise quelque chose de plus difficile à quantifier mais bien plus conséquent. « La réalité particulièrement inconfortable pour les institutions financières est que les enregistrements d’authentification récoltés ne sont pas seulement sensibles », a-t-il déclaré.
« C’est la couche de preuve qui détermine qui possède quoi, qui a autorisé quelle transaction et qui porte la responsabilité légale. » Compromettre cette couche ne vole pas seulement des actifs, cela démantèle l’ensemble du registre de propriété.
Ethereum a déjà lancé une migration post-quantique coordonnée. Bitcoin ne s’y est pas engagé.
La plupart des grandes bourses crypto et des dépositaires, d’où provient l’essentiel du trafic de signature en direct, sont également restés silencieux sur la question. Ce silence, suggère Gault, est précisément ce sur quoi comptent les adversaires patients.
Laisser un commentaire