Votre mot de passe est peut-être solide. La façon dont il a été généré, elle, ne l’est probablement pas. C’est le paradoxe que vient de mettre en lumière une percée publiée dans Nature par des physiciens de l’ETH Zurich, et ce qu’une équipe du NIST (l’agence américaine des standards) a commencé à résoudre concrètement avec un service public. Le hasard qu’utilisent nos ordinateurs depuis des décennies n’en est pas vraiment un, et pour la sécurité numérique, la nuance est immense.
À retenir
- Le hasard utilisé par vos ordinateurs depuis des décennies n’en est pas vraiment un : il reste théoriquement prévisible
- La physique quantique crée enfin un aléa certifié par les lois de l’univers, impossible à reproduire ou manipuler
- La vraie révolution se joue en coulisse : sécuriser les clés cryptographiques d’aujourd’hui contre les ordinateurs quantiques de demain
Ce que « vrai hasard » veut dire, et pourquoi ça change tout
Les générateurs de nombres aléatoires classiques s’appuient sur des processus prévisibles : certains utilisent des algorithmes qui créent des séquences qui ne font qu’imiter le hasard, d’autres exploitent du bruit physique comme des fluctuations électriques, mais restent dépendants de facteurs mesurables qui peuvent être modélisés ou reproduits. En clair : tout ce que votre ordinateur vous dit « aléatoire » est en réalité déterministe, conditionné par un point de départ (la « graine », ou seed) que quelqu’un de suffisamment motivé pourrait théoriquement retrouver.
Un générateur classique peut toujours, en théorie, être reconstitué si quelqu’un découvre sa logique ou sa graine de départ. C’est le talon d’Achille silencieux de toute notre infrastructure cryptographique. Et c’est précisément ce que la physique quantique vient court-circuiter.
La mécanique quantique a ceci de particulier que le hasard est ancré au cœur même de ses fondements, puisque nous ne pouvons pas prédire le résultat d’une expérience à l’avance. Ce n’est pas une limite technologique : c’est une propriété fondamentale de l’univers. Là où un dé physique « pourrait » en principe être prédit si l’on connaissait sa vitesse exacte de lancement, un qubit mesuré n’a littéralement aucune valeur prédéterminée avant cette mesure.
L’expérience de l’ETH Zurich : 30 mètres de tuyau et un dé parfait
Dans les laboratoires de l’ETH Zurich, une équipe menée par Renato Renner et Andreas Wallraff a publié ses résultats dans la revue Nature — et ils ne présentent pas un simple générateur de plus, mais un système capable de produire un aléa certifié par les lois fondamentales de l’univers. La distinction est capitale : certifié, ça signifie que même le fabricant du dispositif ne peut pas prédire la sortie.
Les deux puces supraconductrices sont reliées par un guide micro-ondes de 30 mètres de long refroidi à des températures proches du zéro absolu, et des photons micro-ondes volant entre elles créent une situation d’intrication quantique. Les résultats de mesure sur ces puces sont imprévisibles, et la distance garantit qu’aucune information, même à la vitesse de la lumière, ne peut « truquer » le résultat. C’est le test de Bell sans échappatoire : la preuve mathématique que le hasard observé ne vient pas d’une variable cachée quelque part dans l’appareil.
À l’aide de qubits supraconducteurs enchevêtrés et d’un test dit de Bell, les chercheurs sont parvenus à amplifier un hasard imparfait pour générer des nombres aléatoires tout à fait parfaits. Ce détail de l' »amplification » est souvent omis dans les résumés : le système ne part pas d’un vide absolu, il prend une source de hasard imparfait et la certifie, la purifie par la physique quantique. Le résultat est une source d’aléatoire dont l’imprévisibilité est garantie par des équations, pas par la confiance accordée à un constructeur.
Pendant ce temps, aux États-Unis, le NIST et l’Université du Colorado ont mis en ligne un service baptisé CURBy (Colorado University Randomness Beacon). Ce service public délivre quotidiennement un flux de nombres aléatoires certifiables, générés par un procédé que personne ne peut prédire ni manipuler. Sur ses 40 premiers jours de fonctionnement, le système a généré des chaînes de 512 bits avec un taux de succès de 99,7%. Pour la transparence, chaque étape est marquée d’une « empreinte numérique » (hash) inspirée de la technologie blockchain, ces empreintes étant chaînées ensemble, si une donnée est altérée, les fingerprints ne correspondent plus, révélant immédiatement la manipulation.
Mots de passe : la vraie question n’est pas celle qu’on croit
Alors, qu’est-ce que tout ça change pour votre mot de passe ? Moins que vous ne le craignez à court terme, mais plus profondément que vous ne l’imaginez à moyen terme. Le hasard quantique ne va pas rendre votre « P@ssw0rd123 » soudainement inviolable. Les ordinateurs quantiques sont très peu susceptibles d’impacter la majorité des menaces de mots de passe auxquelles font face les utilisateurs, comme le phishing, les logiciels malveillants ou les comportements risqués. Le vrai problème reste humain, pas mathématique.
Ce qui change, c’est la couche en dessous, la qualité de l’aléatoire utilisé pour générer vos clés de chiffrement, vos sessions HTTPS, vos tokens d’authentification. Une source de hasard certifié peut créer des clés de chiffrement inviolables, sécuriser les identités numériques, et garantir l’imprévisibilité totale des loteries ou des systèmes blockchain. C’est là que la percée prend son importance réelle : pas dans votre gestionnaire de mots de passe, mais dans les serveurs qui chiffrent vos données bancaires et vos communications.
Pour le monde de la cybersécurité, CURBy pourrait offrir un nouveau niveau de confiance : au lieu de s’appuyer sur du matériel opaque ou des logiciels propriétaires, les organisations pourraient utiliser une source de hasard transparente, soutenue par l’État, fondée sur les lois de la physique quantique. La nuance est là : aujourd’hui, quand un serveur génère une clé cryptographique, vous faites confiance à son générateur de hasard sans le voir. Demain, ce même serveur pourrait pointer vers un beacon public, auditable et vérifiable par n’importe qui.
Ce qui reste à faire (et c’est beaucoup)
Il s’agit d’une démonstration d’avantage quantique pure : aucune technologie conventionnelle, aussi puissante soit-elle, ne pourra jamais égaler cette capacité. Mais la démonstration et le déploiement à grande échelle sont deux choses radicalement différentes. Les dispositifs actuels requièrent des infrastructures cryogéniques, des laboratoires entiers, des photons micro-ondes à quelques millikelvins au-dessus du zéro absolu. On est très loin du chip à 3€ qui va se glisser dans votre smartphone.
Le déploiement réaliste passera d’abord par des services centralisés de type beacon, des oracles quantiques auxquels les systèmes critiques se connectent pour « puiser » du hasard certifié. L’utilisation de générateurs quantiques de nombres aléatoires pourrait rapidement devenir la norme dans l’industrie et remplacer les autres formes de générateurs de hasard, permettant entre autres d’augmenter la sécurité des transactions bancaires et la cybersécurité en général. En parallèle, Quantinuum a déjà annoncé que son générateur quantique logiciel a reçu la validation du NIST — premier logiciel QRNG à obtenir cette certification, outil jugé essentiel pour les agences fédérales dans leur migration vers la cryptographie post-quantique.
Ce qui est frappant dans cette histoire, c’est que le vrai enjeu du hasard quantique n’est pas de protéger votre « azerty » contre les hackers. C’est de garantir que, le jour où un ordinateur quantique suffisamment puissant sera opérationnel, les acteurs malveillants qui stockent aujourd’hui des bases de données chiffrées n’auront pas, en plus, bénéficié d’un générateur de hasard prévisible pour déchiffrer rétroactivement tout ce qu’ils auront collecté. La qualité du hasard d’aujourd’hui, c’est la sécurité des secrets de demain.
Source : sciencepost.fr