Impacts du calcul quantique
sur les processus interbancaires

Les processus de paiements ou d’échanges interbancaires sont potentiellement impactés par le risque de fraude. Bien que des améliorations majeures aient été constatées par rapport aux modèles basés sur des règles, des compromis existent toujours entre les faux positifs et la détection de véritables fraudes via les moteurs d’intelligence artificielle actuels. Les faux positifs se produisent lorsque de véritables clients tentent de réaliser un paiement avec une organisation, mais qu’ils sont refusés parce que la transaction est suspectée par erreur comme frauduleuse par le système d’alerte automatisé. Cela entraîne des pertes de revenus pour les organisations. D’un autre côté, lorsque la fraude n’est pas détectée, l’organisation doit enquêter puis régler cette dernière, ce qui entraîne des coûts supérieurs au montant de la fraude elle-même.

Fondés sur ce postulat, de nouveaux modèles d’apprentissage automatique basés sur des algorithmes quantiques peuvent trouver des relations entre les données qui ne peuvent pas être identifiées par des algorithmes classiques. Cet avantage peut être mis à profit pour la détection des fraudes en décelant les nouveaux schémas de fraude et ceux qui sont difficiles à détecter avec les algorithmes classiques.

De même, des recherches récentes ont été lancées sur la résolution des graphes représentant les modèles des transactions bancaires, et un algorithme quantique a été conçu pour mieux identifier et comprendre ces modèles. Les besoins en ressources pour trouver ces corrélations dans les structures de transactions peuvent être considérablement réduits avec une approche quantique. Cela pourra aider à trouver des modèles de fraude, mais aussi potentiellement à mieux connaître les habitudes des clients d’une solution de paiement.

Pour que la technologie quantique soit considérée comme une menace, il est nécessaire d’avoir des machines suffisamment performantes pour exécuter des algorithmes quantiques équivalents à la taille des clés publiques que nous utilisons aujourd’hui en cryptographie. Cela signifie que les mécanismes cryptographiques basés sur des tailles de clé beaucoup plus petites que, par exemple, RSA, seront menacés beaucoup plus tôt. On ne sait pas quand ces machines quantiques apparaîtront, mais elles constituent une menace rétrospective pour les systèmes et les données sécurisés avec une technologie de sécurité non quantique. En d’autres termes, les données et les systèmes que nous protégeons aujourd’hui seront menacés à l’avenir.

Concernant la menace du déchiffrement futur des données sensibles, transmises aujourd’hui sur les réseaux publics, une vision répandue est que l’auteur de la menace est presque toujours une « grande organisation gouvernementale » qui dispose des ressources nécessaires pour récolter une « quantité importante de données chiffrées » tout en développant en parallèle une « grande machine quantique ». Il s’agit d’un point de vue trop limité, qui ignore à la fois les principales dimensions de la menace, mais aussi l’éventail des acteurs impliqués associés. Du point de vue des menaces, nous distinguons deux types d’attaques quantiques :

– attaque hors ligne : un adversaire quantique peut attaquer des informations collectées ou publiques pour extraire des clés ou des secrets qui peuvent ensuite être utilisés pour d’autres attaques. Un exemple consiste à prendre une copie du certificat de la clé publique pour reconstruire la clé privée associée ;

– attaque en ligne : un adversaire quantique est utilisé en temps réel pour attaquer un protocole de sécurité cryptographique. Un exemple est un adversaire quantique essayant de s’authentifier frauduleusement auprès d’un système en attaquant certains aspects du protocole d’authentification.

Les attaques préoccupantes aujourd’hui sont des attaques hors ligne où un attaquant pourrait collecter des informations publiques et tenter de reconstruire des clés privées à partir de ces informations. Cela peut prendre de nombreuses années pour que cela soit viable, mais un attaquant finirait par se retrouver avec une copie reconstruite d’une clé privée. L’impact sur un système de paiement, ou sur des échanges sécurisés, pourrait ainsi être potentiellement très important, particulièrement si les échanges réalisés via ce système de paiement le sont avec des outils de chiffrement peu performants.

Les entreprises doivent se préparer dès maintenant à la transition vers la cryptographie post-quantique. Il est d’ores et déjà possible d’intégrer des algorithmes de sécurité quantique approuvés par le NIST (Institut national des normes et de la technologie), à l’image du matériel transactionnel bancaire IBM z16 par exemple (annoncé en avril 2022).

Mettre à niveau la cybersécurité mondiale pour l’ère de l’informatique quantique sera un nouveau défi. Les grandes institutions bancaires devront transformer leur infrastructure avec rapidité et agilité. Cette transformation n’étant pas immédiate, il est crucial de commencer à y travailler dès maintenant.

Le droit et la politique sont en train de rattraper cette nouvelle réalité. Les organisations qui intègrent dans leurs stratégies les annonces du NIST sur les processus de chiffrement post-quantique seront les mieux placées pour protéger leurs intérêts commerciaux et atténuer leurs responsabilités. Ainsi, IBM travaille avec ses clients pour identifier au plus vite où se trouvent de potentielles vulnérabilités aux attaques quantiques, selon un processus en plusieurs étapes. Les risques variant considérablement en fonction du type d’applications et de données, il est nécessaire d’identifier les priorités les plus élevées en matière de sécurité.

Une fois les priorités définies, nous travaillons avec les institutions pour répertorier leurs schémas de données et de chiffrement existants. Ces inventaires deviennent des cadres pour leur transition vers une cryptographie post-quantique, leur permettant de passer de manière hautement structurée d’abord à un schéma de chiffrement hybride, puis à un régime entièrement post-quantique.

Il s’agit d’un défi mondial, particulièrement à l’échelle d’un réseau de paiement, nécessitant une action de préparation dès maintenant. Ces préparatifs nous rendront plus résilients, plus agiles et plus aptes à nous adapter aux menaces futures.