Vous pensiez avoir tout vu ? Les ransomwares chiffrent, rançonnent, font chanter. Et maintenant, ils font dans le quantum-safe. Un premier « famille de ransomware » vient d'être officiellement certifiée résistante aux ordinateurs quantiques. Félicitations. Vous pouvez dormir tranquille : vos données seront encryptées avec la dernière technologie… et vous paierez quand même.
Mais posons la question qui fâche : à quoi ça sert, concrètement ? Techniquement, aucun bénéfice pratique. Un ransomware n'a pas besoin de protéger ses communications contre une hypothétique attaque quantique de la NSA. Il a besoin que vos fichiers restent illisibles jusqu'à ce que vous payiez. Et pour ça, un bon vieux RSA-4096 ou AES-256 fait très bien l'affaire. Le quantum-safe, c'est du marketing pur jus. Comme un braqueur qui utiliserait un coffre-fort blindé pour planquer son butin… alors que le butin, c'est vos données.
Pourquoi cette obsession du mot « quantique » ?
Parce que ça impressionne les comités d'audit et les directions juridiques. « Regardez, on utilise du PQ ! On est à la pointe ! » Sauf que le PQ (Post-Quantum Cryptography) est conçu pour des usages où la confidentialité doit tenir 20 ans, pas 48 heures. Un ransomware typique a une durée de vie de quelques semaines avant que les clefs soient révoquées ou que le groupe se saborde. Alors pourquoi se compliquer la vie avec des algorithmes lourds qui ralentissent le chiffrement ?
La seule raison plausible : faire peur. En annonçant un ransomware « quantique », on laisse croire que les méthodes de défense classiques (antivirus, EDR) sont obsolètes. C'est un argument de vente pour les équipes de sécurité qui veulent justifier des budgets « préparation quantique ». Les vendeurs de solutions PQC se frottent les mains, les CISO angoissent, et les criminels rigolent en poche.
Derrière le rideau de fumée
Regardons les faits. Mi-2024, des chercheurs ont découvert une variante de ransomware qui utilisait un algorithme PQC (CRYSTALS-Kyber) pour sa couche de communication. Mais attention : pas pour le chiffrement des fichiers, juste pour le canal de commande. Autrement dit, ils ont mis du PQ là où ça ne change rien. Le vrai maillon faible reste la clef de déchiffrement côté attaquant, que vous pouvez toujours sécuriser avec du vieux ECDH. Pourquoi ce foin ? Parce que ça fait un joli titre dans les médias. « Premier ransomware quantum-safe » – ça claque, mais ça ne veut rien dire.
Et pendant ce temps, les vrais problèmes persistent : portes dérobées via phishing, backups non testés, politique de mots de passe catastrophique. Mais non, on préfère s'extasier sur un algorithme que personne ne pourra casser dans 15 ans. Problème : personne n'a besoin d'attendre 15 ans pour décrypter vos fichiers, le ransomware vous donne la clef si vous payez dans les 72 heures.
Conclusion : ne gobez pas la poudre de perlimpinpin
Ce « quantum-safe » n'est qu'un label de plus pour ajouter de la complexité là où il n'y en a pas besoin. Les ransomwares restent des extorsions. Le quantum-safe n'est qu'un nouveau mot à la mode que les criminels utilisent pour vendre leur poison. La prochaine mode ? Peut-être un ransomware « blockchain-based » ou « IA-powered ». Le piège est le même : vous impressionner avec des termes techniques pour que vous payiez plus.
Alors la prochaine fois qu'un rapport annonce un « ransomware quantum-safe », demandez-vous : concrètement, qu'est-ce que ça change pour vos données ? Rien. Absolument rien. À part que vous aurez un nouveau mot à caser au prochain comité de direction. Bonne chance.