Fermer

octobre 23, 2025

Préparation à la cryptographie post-quantique avec OpenText SAST et DAST

Préparation à la cryptographie post-quantique avec OpenText SAST et DAST

Il s'agit d'une image stylisée d'une clé contenant des données représentant la cryptographie post-quantique.

La menace quantique qui pèse sur la cryptographie moderne n’est plus théorique. Dans toute l’industrie, les équipes se préparent. Les gouvernements fixent des délais de migration ; les organismes de normalisation ont publié de nouveaux algorithmes. Les plateformes intègrent des protocoles résistants aux quantiques, et les signaux du marché vont dans le même sens. Ce n’est pas si… c’est quand.

Avec la sortie en octobre 2025 de OpenText SAST et DAST 25.4les équipes de sécurité disposent d’outils essentiels pour cette transition. SAST identifie dans le code des algorithmes cryptographiques sécurisés contre les attaques classiques mais vulnérables aux futurs ordinateurs quantiques. DAST signale les serveurs sur lesquels TLS 1.3 n’est pas configuré avec des options d’échange de clés hybrides post-résilientes quantiques telles que X25519MLKEM768.

Comprendre le défi de l’informatique quantique

Les ordinateurs quantiques utilisent des Qubits, capables de plusieurs états à la fois, pour explorer les espaces de solutions beaucoup plus rapidement que les machines classiques. Pour de nombreux problèmes, c’est intéressant ; pour la cryptographie, c’est perturbateur.

L’algorithme de Shor (1994) peuvent factoriser efficacement les nombres et résoudre des logarithmes discrets, ce qui compromet les systèmes tels que RSA, DSA et ECC, ainsi que les protocoles d’échange de clés comme Diffie-Hellman et Elliptic Curve Diffie-Hellman. Qu’est-ce qui pourrait prendre un classique supercalculateur des millions d’années pourraient être réalisées en quelques heures par un ordinateur quantique suffisamment puissant.

La menace « récolter maintenant, décrypter plus tard »

Voici ce qui rend cette situation particulièrement urgente : les adversaires n’ont pas besoin d’attendre que les ordinateurs quantiques deviennent pleinement opérationnels. Ils peuvent utiliser une stratégie « récolter maintenant, décrypter plus tard » : collecter les communications et les données cryptées aujourd’hui, les stocker et les déchiffrer une fois que les ordinateurs quantiques seront disponibles.

Pour les données nécessitant une confidentialité à long terme, cette menace est immédiate. Dossiers de santé, secrets d’État, propriété intellectuelle, contrats juridiques, transactions financières : toute information qui doit rester confidentielle pendant des années ou des décennies est menacée. tout de suiteavant même que les ordinateurs quantiques n’atteignent l’échelle nécessaire.

C’est pourquoi les cryptographes et les professionnels de la sécurité soulignent que les organisations ne peuvent pas se permettre d’attendre. La transition vers la cryptographie post-quantique (PQC) doit commencer dès aujourd’hui pour se protéger contre les menaces déjà en mouvement.

La réponse de l’industrie : une accélération rapide

La réponse de l’industrie technologique à la menace quantique s’est considérablement intensifiée au cours de l’année écoulée, les normes, les plates-formes et les marchés signalant tous une préparation urgente.

Le NIST finalise les normes post-quantiques

En août 2024, le Institut national américain des normes et de la technologie (NIST) a publié trois normes finalisées de cryptographie post-quantique, une étape importante qui a marqué le point culminant d’un processus de normalisation de huit ans qui a débuté en 2016 :

  • FIPS203 (ML-KEM) : mécanisme d’encapsulation de clé basé sur un treillis de modules, dérivé de CRYSTALS-Kyber, pour le chiffrement général et l’échange de clés
  • FIPS204 (ML-DSA) : algorithme de signature numérique basé sur un réseau de modules, dérivé de CRYSTALS-Dilithium, pour les signatures numériques
  • FIPS205 (SLH-DSA) : algorithme de signature numérique sans état basé sur le hachage, dérivé de SPHINCS+, offrant une approche de signature alternative

Ces normes sont basées sur des problèmes mathématiques (cryptographie basée sur un réseau et basée sur un hachage) censés résister aux attaques des ordinateurs classiques et quantiques. Leur publication a déclenché des efforts de mise en œuvre dans l’ensemble de l’industrie.

Adoption explosive d’un protocole

Selon Données réseau de Cloudflarele trafic HTTPS chiffré post-quantique est passé de 17 % le 1er octobre 2024 à 47 % un an plus tard.

Cette croissance reflète plusieurs facteurs convergeant simultanément :

  • Prise en charge du navigateur: Google Chrome a activé l’accord de clé post-quantique par défaut en avril 2024 (Chrome 124), suivi de Mozilla Firefox et des tests initiaux dans Apple Safari, Edge (pris en charge ; versions récentes par défaut via la politique).
  • Déploiement côté serveur: Cloudflare offert poste-accord de clé quantique (bêta octobre 2022 ; GA 2023-2024). Les principaux serveurs Web prennent désormais en charge les négociations hybrides PQC (Apache, NGINX).
  • Adoption par l’entreprise: Les organisations intègrent PQC dans leurs architectures de sécurité avant les exigences réglementaires

Intégration de plateforme

Les principales plates-formes de développement intègrent des fonctionnalités post-quantiques directement dans leurs bibliothèques principales. Java 24, publié en mars 2025, a introduit deux propositions d’amélioration Java (JEP) fournissant une prise en charge native des algorithmes post-quantiques du NIST :

  • DONNER 496: Mécanisme d’encapsulation de clé basé sur un réseau de modules résistant aux quantiques (ML-KEM)
  • DONNER 497: Algorithme de signature numérique basé sur un réseau de modules résistant aux quantiques (ML-DSA)

Ces ajouts rendent la cryptographie à résistance quantique accessible à des millions de développeurs Java, éliminant ainsi le besoin de bibliothèques externes et contribuant à garantir des implémentations cohérentes et bien testées sur toutes les plates-formes. De la même manière, .NET10 a ajouté la prise en charge de ces algorithmes.

Signaux du marché

La dynamique s’accentue dans l’ensemble de l’écosystème…capital, les feuilles de route des produits et les politiques s’alignent derrière le PQC. Des normes sont établies, les plateformes s’intègrent et les mandats transforment les plans en échéanciers.

Ce qu’il faut retenir : la préparation est en cours dans tous les secteurs.

Défis du portefeuille d’applications

Pour les organisations qui planifient leur migration post-quantique, la question centrale est la suivante : où utilisons-nous la cryptographie quantique vulnérable ? Les portefeuilles modernes couvrent plusieurs référentiels, frameworks et dépendances tierces. Cryptomonnaie peuvent être explicites ou enfouies dans les flux d’authentification, les couches de protection des données et les protocoles de communication.

La création d’un inventaire complet nécessite une automatisation : c’est là que le SAST est essentiel. Pour les applications Web, assurez-vous également que l’échange de clés TLS 1.3 est protégé post-quantique.

Analyse cryptographique OpenText SAST et DAST

OpenText SAST fournit depuis des années une détection sophistiquée des vulnérabilités cryptographiques. Nos règles identifient depuis longtemps des algorithmes cryptographiques faibles comme DES, MD5 et d’autres approches obsolètes qui ne répondent pas aux normes de sécurité modernes. OpenText DAST fournit déjà une analyse complexe des configurations cryptographiques faibles telles que des chiffrements/protocoles faibles, des tailles de clé insuffisantes, un manque de confidentialité parfaite, etc.

Cette base d’analyse cryptographique nous offre une base puissante pour relever le défi post-quantique.

Nouveau dans la version 25.4 : détection de la cryptographie quantique vulnérable

Avec OpenText SAST 25.4, nous introduisons des capacités de détection spécifiquement axées sur les algorithmes sécurisés contre les attaques classiques mais vulnérables aux ordinateurs quantiques. Il s’agit d’une catégorie distincte de la cryptographie faible traditionnelle : ces algorithmes (RSA, DSA) restent solides par rapport aux normes actuelles mais ne résisteront pas aux futures attaques quantiques.

Nous avons ajouté une nouvelle catégorie de vulnérabilité à OpenText SAST : « Chiffrement faible : algorithme résilient non PQC ». Cette catégorie identifie les algorithmes cryptographiques qui, bien que classiquement sécurisés, manquent de résistance aux attaques informatiques quantiques.

Notre version initiale se concentre sur les applications Java, détectant l’utilisation des algorithmes RSA et DSA. Ce sont parmi les systèmes cryptographiques à clé publique les plus largement déployés, et l’identification de leur utilisation est une première étape essentielle pour toute migration post-quantique.

Pour OpenText DAST 25.4, nous introduisons des fonctionnalités de détection pour identifier les configurations de serveur qui ne fournissent pas d’alternatives d’échange de clés PQC hybrides pour les connexions TLS 1.3, en particulier la nouvelle catégorie « Transport non sécurisé : échange de clés résilient PQC manquant ». Avec cette catégorie, les clients peuvent vérifier si un serveur Web ciblé est configuré pour prendre en charge un Prise de contact TLS 1.3 à l’aide de X25519MLKEM768 établir le lien avec une approche hybride PQC. Ce hybride particulier L’accord de clé post-quantique est signalé comme largement mis en œuvre ; voir, par exemple, ce blog par F5 Labs.

Équilibrer la sécurité et le bruit : le drapeau de fonctionnalité et l’approche informationnelle

Nous reconnaissons que les organisations se trouvent à différentes étapes de leur parcours post-quantique. Certains planifient activement des migrations et ont besoin de cette capacité de détection immédiatement. D’autres n’ont pas encore commencé à aborder la sécurité post-quantique et considéreraient ces découvertes comme prématurées, générant du bruit plutôt que des renseignements exploitables.

C’est pourquoi la détection de la cryptographie post-quantique dans SAST 25.4 est contrôlée par un indicateur de fonctionnalité : com.fortify.sca.rules.enablePQCRules. Lorsqu’il est désactivé (valeur par défaut), SAST continue de signaler les vulnérabilités cryptographiques traditionnelles sans signaler les algorithmes vulnérables quantiques. Lorsqu’il est activé, SAST identifie l’utilisation de RSA et DSA, permettant aux équipes de créer leur inventaire cryptographique. Cette approche reflète notre engagement plus large en faveur de l’équilibre signal/bruit dans les résultats SAST.

Pour DAST 25.4, nous utilisons une approche alternative et traitons la détection de Transport non sécurisé : échange de clés résilientes PQC manquant comme un Informatif plutôt qu’une vulnérabilité de grande gravité. Cette approche permet aux clients d’inclure la détection dans la politique standard lors de l’analyse des cibles afin d’identifier les risques potentiels futurs, sans hiérarchisation de gravité plus élevée pouvant bloquer une version. Lorsqu’il existe des preuves qu’un exploit fonctionnel est possible, la gravité de la catégorie sera augmentée pour refléter le risque.

Notre feuille de route

Les fonctionnalités de SAST 25.4 et DAST 25.4 représentent notre implémentation initiale, mais notre feuille de route de cryptographie post-quantique va bien plus loin :

Algorithmes supplémentaires: Nous étendons la couverture au-delà de RSA et DSA pour inclure d’autres algorithmes et protocoles d’échange de clés quantiques vulnérables, offrant ainsi une visibilité complète sur tous les systèmes cryptographiques qui nécessiteront une migration. Pour DAST, nous étendrons la couverture pour inclure d’autres permutations ML-KEM ainsi que d’autres alternatives PQC de prise de contact standardisées.

Analyse de la longueur des clés: Même les algorithmes résistants aux quantiques comme AES nécessitent une configuration minutieuse. Alors que l’AES-256 est considéré comme étant quantiquement sûr, l’AES-128, bien que sécurisé contre les attaques classiques, offre des marges de sécurité réduites dans un monde post-quantique. Les versions futures analyseront la longueur des clés et les paramètres de configuration pour identifier les implémentations cryptographiques qui pourraient s’avérer inadéquates pour la sécurité post-quantique.

Prise en charge multilingue: Java est notre point de départ pour SAST, mais les applications modernes couvrent de nombreux langages. Nous prévoyons d’étendre la détection post-quantique à toute la gamme de langages pris en charge par OpenText SAST, garantissant ainsi une couverture complète quelle que soit votre pile technologique.

Regarder vers l’avenir : se préparer à l’ère quantique

La transition vers la cryptographie post-quantique est en cours. Les normes sont finalisées. Les plateformes intègrent des algorithmes résistants aux quantiques. Les protocoles sont mis à niveau sur Internet. Les marchés signalent l’urgence. Les mandats gouvernementaux établissent des délais fermes.

OpenText SAST 25.4 et DAST 25.4, publiés en octobre 2025, offrent aux équipes de sécurité la visibilité dont elles ont besoin pour commencer leur voyage post-quantique, en identifiant les emplacements de cryptographie quantique vulnérable dans leurs portefeuilles d’applications et en créant l’inventaire qui guidera les stratégies de migration.

Que vous commenciez votre migration post-quantique immédiatement ou planifier pour mise en œuvre dans les années à venir, la capacité de détection sera prête lorsque vous en aurez besoin. Nous n’attendons pas que la menace quantique se matérialise ; nous veillons à ce que nos clients disposent des outils dont ils ont besoin pour garder une longueur d’avance.

La transition cryptographique de la décennie est en cours. Sécurité des applications OpenText s’engage à vous aider à y naviguer avec succès.






Le poste Préparation à la cryptographie post-quantique avec OpenText SAST et DAST est apparu en premier sur Blogues OpenText.




Source link