L'univers de la technologie prend rapidement conscience de la menace que représentent les futurs systèmes quantiques pour la sécurité au moment où ils seront capables de contourner facilement le chiffrement utilisé actuellement pour protéger sa présence sur Internet. Dans ce contexte, la décision d’Apple de partager le code de cryptographie post-quantique de l’iPhone et du Mac sur GitHub en dit long. Passée inaperçue dans le brouillard médiatique du week-end du Memorial Day (25 mai, comme la Pentecôte), cette protection met en œuvre les versions Apple des algorithmes standardisés ML-KEM et ML-DSA, sécurisés contre les attaques quantiques. Les documents récemment publiés comprennent le code source de corecrypto, la bibliothèque cryptographique utilisée par le framework de sécurité d’Apple, CryptoKit et CommonCrypto. L’entreprise a également publié un livre blanc dans lequel elle fournit des explications supplémentaires, notamment sur la manière dont elle a testé sa protection.

Un travail au long cours

Cela fait des années que la firme à la pomme travaille sur la protection cryptographique post-quantique. Ses efforts ont été rendus publics pour la première fois lors de l'introduction du protocole PQ3 d'iMessage dans iOS 17.4. Cette protection sécurise à la fois les conversations et leurs clés de chiffrement contre de futures attaques quantiques. Elle est désormais disponible dans iMessage, les VPN et les réseaux TLS, tandis que CryptoKit permet aux développeurs d'adopter un chiffrement quantique sécurisé dans leurs propres applications. Les informations publiées par Apple sont assez détaillées, mais en résumé, cela signifie que l’entreprise a officiellement vérifié que sa bibliothèque corecrypto met en place une protection capable de résister à l’informatique quantique. Elle fonctionne déjà en continu sur plus de 2,5 milliards de terminaux actifs, assurant le chiffrement, le hachage, la génération de nombres aléatoires et les signatures numériques. Les tests d’Apple signifient également que la société a établi une nouvelle référence en matière d’ingénierie de sécurité et de conformité à haut niveau de garantie, au point même d’avoir développé ses propres outils personnalisés pour vérifier sa protection, et d’avoir collaboré avec la société américaine réputée Galois afin de faciliter la tâche des tiers souhaitant tester corecrypto.

« Avec la dernière publication du code source de corecrypto le 22 mai 2026, nous partageons des avancées significatives dans la vérification formelle appliquée avec la communauté cryptographique mondiale, y compris les détails de notre approche et les outils que nous avons utilisés », a indiqué Apple. L’entreprise pense qu’en le publiant de cette manière, les chercheurs en sécurité pourront vraiment mettre ces protections à l'épreuve pour s'assurer qu'elles fonctionneront lorsque l'informatique quantique deviendra véritablement une menace. Le fournisseur souhaite également « encourager une adoption plus large, soutenir l’examen critique de ses travaux et contribuer à faire progresser l’état de l’art dans la sécurisation des logiciels critiques. »

Faire monter le niveau général du chiffrement quantique

La société californienne est relativement certaine de l'efficacité de ses mesures de protection. Pour s'en assurer, elle a procédé à une vérification formelle de certaines parties de sa bibliothèque corecrypto, apportant ainsi la preuve mathématique que ses implémentations de chiffrement critiques fonctionnent comme prévu. L'importance de cette preuve mathématique est considérable. On peut notamment considérer que, tandis que les modèles de sécurité traditionnels se concentrent sur les protections périmétriques, l'approche mathématique d'Apple analyse efficacement le code protégé pour s'assurer qu'il n'existe aucune faille dans ses fondements de sécurité, du moins en ce qui concerne les attaques quantiques. Certes, l’affirmation « aucune » est audacieuse, mais dans l’immédiat, cela signifie au moins que les développeurs pourront se concentrer sur la sécurisation de leurs applications et des protections d’accès des utilisateurs contre les menaces quantiques, en laissant la protection fondamentale aux équipes de sécurité de Cupertino. Cette initiative devrait relever la barre dans l’ensemble du secteur. En effet, le fournisseur a démontré qu’il était possible de vérifier le code critique avec une certitude mathématique. Si elle peut le faire pour ses systèmes d’exploitation, d’autres devraient être en mesure d’en faire autant.

Après cette annonce, il ne serait pas surprenant que Google en face rapidement autant avec Chrome OS, les défis quantiques à relever pour les fournisseurs d'OS étant nombreux. « Notre vérification formelle a permis de détecter des problèmes qui n’auraient pas été repérés par des tests conventionnels, de sorte que nous avons pu corriger ces erreurs avant même qu’elles n’atteignent nos produits », a affirmé Apple dans son livre blanc. Le chiffrement post-quantique d’Apple présente toutefois des limites. La mise en œuvre de cette preuve mathématique est coûteuse, ce qui signifie que la portée de ces affirmations ne s’applique qu’aux protections quantiques mentionnées par l'éditeur dans son rapport. Cela laisse probablement d’autres vecteurs d’attaque que de futurs pirates pourraient chercher à exploiter. La firme semble également admettre que ses tests pourraient eux-mêmes comporter des vulnérabilités, c’est pourquoi elle souhaite encourager les chercheurs à mettre ses travaux à l’épreuve.

Une histoire sans fin

Nous savons déjà que la sécurité sur n’importe quelle plateforme est un combat sans fin. À mesure qu’un problème est corrigé, des vulnérabilités inédites apparaissent. Et face à des adversaires dont certains bénéficient du soutien d'Etats, on ne peut jamais se permettre de baisser la garde. Il est bon de voir qu’Apple continue ainsi de mettre en place des protections contre la menace imminente de l’informatique quantique. Et il est encore mieux que l’entreprise partage la manière dont elle vérifie son travail. Cela facilite un peu la tâche des développeurs qui disposent de moins de ressources pour rechercher, tester et mettre en œuvre leurs propres protections contre cette dernière génération de menace qui pourrait bien bouleverser le monde de la sécurité.