> Sécurité > Le futur de la cryptographie post-quantique

Le futur de la cryptographie post-quantique

Sécurité - Par iTPro - Publié le 01 juillet 2026

L'essor des passkeys est l'une des évolutions les plus prometteuses de l'authentification. Pour exploiter leur potentiel et éliminer les mots de passe, il faut continuer à innover. Cela implique notamment le recours à la cryptographie post-quantique et à des solutions basées sur les passkeys.

Le futur de la cryptographie post-quantique

Fabrice de Vésian, Sales Director France et South EMEA chez Yubico, répond aux interrogations liées aux avancées sur les passkeys et les clés de sécurité matérielles dans une transition vers les futures menaces quantiques.

Les passkeys remplacent les mots de passe, mais quelle sera la prochaine avancée au-delà de la simple connexion ?

La solution éprouvée et la plus efficace pour lutter contre le vol et la falsification d’identité est l’utilisation d’identifiants vérifiables. Plus précisément, une authentification forte combinée à une vérification d’identité numérique. Ces dernières années, les passkeys se sont imposées comme les successeurs incontestés des mots de passe et de l’authentification multi-facteurs (MFA) traditionnelle, devenant rapidement la norme en matière d’authentification sécurisée et résistante au phishing. Si elles offrent déjà un accès fluide et sécurisé pour les connexions quotidiennes, leur potentiel va bien au-delà de ce cas d’utilisation initial. À mesure que leur adoption mondiale s’accélère, elles jouent un rôle croissant dans le chiffrement et la protection des identités numériques dans un monde post-quantique et axé sur l’IA.

L’adoption de la cryptographie post-quantique sera une évolution plutôt qu’une transition soudaine. Il sera essentiel de garantir que les identités numériques restent protégées contre les futures menaces quantiques sans sacrifier la facilité d’utilisation et la confiance qui constituent notre fondement depuis le début.

Comment les clés de sécurité matérielles évoluent-elles, passant du statut d’outils d’authentification à celui de dispositifs d’autorisation des transactions ?

Elles évoluent rapidement au-delà de leur rôle initial d’authentification et s’imposent comme des outils puissants pour l’autorisation des transactions, en passant de la vérification de l’identité à la vérification de l’intention. Traditionnellement, elles offraient une protection hautement sécurisée pour les connexions quotidiennes en associant une clé publique à une clé privée impossible à deviner, liée à un appareil. Aujourd’hui, leurs capacités vont plus loin, servant de racine de confiance matérielle pour les jetons de délégation de rôle (RDT) et les signatures numériques hautement sécurisées.

En liant les opérations sensibles directement à une signature cryptographique adossée à du matériel, ces clés de sécurité fournissent une preuve d’identité et un consentement explicite pour des actions spécifiques, telles qu’un transfert financier ou une commande pilotée par l’IA. Cela comble le « fossé de responsabilité » en garantissant que les agents automatisés ne peuvent pas exécuter de transactions aux conséquences importantes sans intervention humaine. Par exemple, quelqu’un touchant physiquement la clé pour autoriser l’enveloppe cryptographique unique de cette tâche spécifique.

 

Fabrice de Vésian, Sales Director France et South EMEA chez Yubico

Fabrice de Vésian, Sales Director France et South EMEA chez Yubico

Que signifie « prouver la possession et l’intention » en termes de sécurité concrète ?

Concrètement, cela marque une transition par rapport aux méthodes d’authentification traditionnelles, telles que les mots de passe facilement piratables et les mots de passe à usage unique (OTP) envoyés par SMS. Prouver la possession consiste à s’appuyer sur un objet que l’utilisateur détient physiquement, comme une clé de sécurité matérielle. Comme ces clés sont liées à un appareil, les attaquants à distance ne peuvent pas intercepter ou voler les identifiants, ce qui signifie que seule la personne en possession physique de la clé peut y accéder.

Par ailleurs, prouver l’intention implique une action physique délibérée qui confirme l’identité de l’utilisateur, comme toucher la clé de sécurité lors de l’authentification. Ensemble, ces facteurs garantissent que même si un utilisateur clique sur un lien vers un site web frauduleux, l’authentification échouera car la possession et l’intention sont toutes deux cryptographiquement liées au domaine légitime.

Comment les passkeys pourraient-elles permettre de réaliser des opérations hautement sécurisées, telles que des virements financiers ou des validations de code ?

Les passkeys sont parfaitement adaptées pour sécuriser des actions à haut niveau de confiance en étendant leur modèle de sécurité de base au-delà de l’authentification. Cette évolution permet à la même racine de confiance utilisée pour les connexions résistantes au phishing de fournir une autorisation testée au niveau matériel pour les workflows automatisés et agentiques. En pratique, les utilisateurs peuvent approuver des actions critiques, virement bancaire, déploiement de code ou opérations d’IA, en appuyant simplement sur leur clé de sécurité matérielle.

Ce processus s’appuie sur les RDT et la nouvelle extension de signature WebAuthn, qui lie une signature cryptographique unique à la charge utile d’une transaction spécifique. En limitant l’usage des clés privées aux appareils de l’utilisateur plutôt qu’au cloud, cette approche garantit une présence humaine physique pour autoriser les tâches à haut risque. Elle empêche ainsi les agents autonomes d’exécuter des transactions sans consentement explicite et vérifiable.

Comment les clés matérielles s’associent-elles aux identifiants vérifiables pour permettre une identité numérique respectueuse de la vie privée ?

L’association des clés de sécurité matérielles et des identifiants vérifiables (VC) permet de créer des identités numériques sécurisées et respectueuses de la vie privée. Tandis que les passkeys confirment le contrôle d’un appareil, les VC attestent d’attributs spécifiques comme un statut professionnel ou une nationalité. Cette synergie facilite la divulgation sélective, permettant à l’utilisateur de prouver une information sans exposer de données sensibles superflues.

L’ancrage de ces portefeuilles numériques à une clé physique garantit que l’identité reste sous le contrôle exclusif de l’utilisateur, grâce à une racine de confiance matérielle non reproductible. Des initiatives comme wwWallet illustrent cette évolution en intégrant les passkeys au Web. Il en résulte un système d’authentification résistant au phishing où la gestion de l’identité et les opérations sensibles sont liées de manière permanente à un support physique unique.

Pourquoi la crypto-agilité est-elle essentielle dans la transition vers une sécurité résistante à l’ère post-quantique ?

La transition vers la cryptographie post-quantique (PQC) nécessite une « crypto-agilité », car l’adaptation des systèmes de sécurité pour résister aux futures attaques des ordinateurs quantiques est à la fois complexe et chronophage. L’engagement du secteur en faveur de la crypto-agilité garantit que les protocoles et les produits peuvent être mis à jour de manière sécurisée et méthodique, évitant ainsi les failles de sécurité qui ont historiquement résulté de transitions cryptographiques précipitées. Bien que des progrès soient réalisés en matière de normes, un travail considérable reste à accomplir pour mettre en œuvre efficacement des solutions post-quantiques dans des domaines tels que l’attestation, les protocoles PIN et l’expérience utilisateur lors de l’enregistrement.

De plus, les algorithmes post-quantiques impliquent des mathématiques plus complexes et ont une empreinte beaucoup plus importante, ce qui signifie qu’il n’est pas envisageable de les adapter aux clés de sécurité existantes. Étant donné que du matériel entièrement nouveau et une maturité accrue des normes industrielles sont nécessaires pour prendre en charge ces algorithmes avancés, une approche fortement axée sur la crypto-agilité est essentielle pour un déploiement fluide et sécurisé de l’authentification résistante aux attaques post-quantiques.

Téléchargez cette ressource

Plan de sécurité Microsoft 365

Plan de sécurité Microsoft 365

Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?

Les plus consultés sur iTPro.fr

A lire aussi sur le site

À la une de la chaîne Sécurité