C'est un jeu d'attente high-tech à enjeux élevés.
Comme Jack Hidary, PDG de Sandbox AQ, l'a dit à Karen Webster de PYMNTS, les institutions financières (IF) et toutes sortes d'entreprises dépendent toujours de RSA, un cryptosystème à clé publique qui est la pierre angulaire de l'échange de données sécurisé, sous-tendant le transmission de tout, des paiements aux informations de santé.
Cependant, cet algorithme remonte à la fin des années 1970 et représente un vecteur clé de vulnérabilité qui peut finalement être vaincu par les pirates.
C'est particulièrement vrai si ces pirates sont armés d'une puissance de calcul quantique turbocompressée et soutenus par des États-nations qui disposent de ressources illimitées.
En ce qui concerne la grande stratégie, Hidary a déclaré : "Ils saisissent les données, les exfiltrent, les stockent, puis les lisent lorsqu'ils disposent de capacités informatiques plus nombreuses et meilleures."
Smash. Saisir. Attendez. Ils attendent que la puissance de calcul quantique soit disponible, même si cela prend des années. C'est un magasin maintenant, décryptez une approche ultérieure qui peut déclencher des ravages sur toute la ligne, et personne ne sait exactement quand.
Les banques sont vulnérables, a déclaré Hidary à Webster, parce que les "moyens secrets" par lesquels elles ont mis en place une infrastructure de paiement - les vérifications et contrôles internes, la gestion des risques et les modèles commerciaux exclusifs - sont tous précieux. Il y a eu un certain nombre de menaces existentielles dans les banques et les entreprises de paiement au fil des ans, et maintenant les menaces sont de plus en plus numériques, d'autant plus que les points de contact prolifèrent.
"Ces menaces proviennent toutes d'une mauvaise évaluation des risques", a-t-il déclaré.
Nous serons peut-être dans des années avant de voir des ordinateurs quantiques suffisamment rapides et puissants pour briser les lignes de défense en place via le chiffrement à clé, mais une menace se profile.
La menace est suffisamment large pour que la Maison Blanche ait annoncé des propositions visant à maintenir les États-Unis à la pointe de la course quantique et à atténuer les risques dans les années à venir.
Connexe : Le Sandbox AQ du Quantum Tech Group d'Alphabet passe en solo
L'expliquer à maman
Pour résumer pourquoi l'ici et maintenant est le plus urgent lorsqu'il s'agit des processus informatiques les plus exotiques et les plus complexes, en particulier l'informatique quantique, commencez par "l'approche maman".
En d'autres termes, comment l'expliqueriez-vous à cette chère vieille maman - elle qui pourrait avoir un peu de mal à se connecter aux appels Zoom ?
Hidary a comparé la bifurcation de l'informatique et de la défense des données aux changements qui se dessinent dans les transports. Il existe des véhicules à combustion qui brûlent du gaz pour faire tourner les roues, et il existe des véhicules électriques.
"Ce sont tous deux des véhicules qui déplacent les gens, mais ils le font de manière très différente", a déclaré Hidary.
À cette fin, il existe aujourd'hui toutes sortes d'ordinateurs, a-t-il déclaré. Il existe différents processeurs et GPU proposés par des sociétés aussi diverses qu'Intel et Nvidia, Google et AMD et bien d'autres. Comme Hidary l'a noté, ces offres fonctionnent selon les principes traditionnels de l'informatique, alimentant les processeurs que nous avons sur les téléphones et les serveurs.
Mais comme il l'a dit, "l'informatique quantique ne "supprimera" jamais les ordinateurs classiques. Ils ne sont pas là pour remplacer les ordinateurs classiques. Ils sont là pour s'asseoir côte à côte, où nous traitons simultanément des informations sur plusieurs types d'informatique. »
L'approche du consortium
L'avantage de ces ordinateurs quantiques et de la puissance qu'ils détiennent n'est pas seulement qu'ils peuvent être exploités par les méchants ; les gentils peuvent également exploiter toute cette puissance. Ils peuvent également s'unir pour protéger les données et la sécurité financière, dans une approche basée sur des normes qui favorise la cryptographie résistante au quantum.
Hidary a noté qu'au cours des dernières années, un large éventail de pays d'Amérique du Nord et d'Europe (liés, à leur tour, aux National Institutes of Standards and Technology) ont travaillé ensemble pour mettre de nouveaux protocoles sur le terrain.
Mais les fraudeurs, a-t-il dit, surveillent - et ils ont une courte fenêtre de temps, ce qui signifie qu'ils peuvent intensifier leurs attaques. Pour accélérer les défenses, les mémorandums de sécurité nationale de la Maison Blanche ont chargé l'Agence de sécurité nationale d'aider les directeurs de l'information (CIO) à développer des protocoles résistants quantiques.
Sandbox et Quantum Alliance Initiative, un consortium d'entreprises et d'universités, travaillent avec des organismes de réglementation pour aider à remédier aux vulnérabilités de la situation actuelle et tracer une feuille de route pour une meilleure protection.
À un niveau élevé, à mesure que les paiements deviennent plus distribués, et que tous les appareils se connectent à Internet et peuvent éventuellement effectuer des transactions (et que les applications se multiplient), le cloud peut aider à améliorer ces lignes de défense. Comme l'a dit Hidary, les transitions via le cloud ne nécessitent aucun matériel en place, et donc seules des mises à niveau seraient nécessaires.
En savoir plus : Pour le secteur bancaire, la migration vers le cloud est une question de quand, pas si
Pour les banques, a-t-il déclaré : "La première étape de cette transition est un processus d'inventaire et d'évaluation", dans le cadre duquel les banques créeraient des plans de transition pour migrer de RSA vers des protocoles de sécurité quantique.
La migration peut prendre des années, a-t-il déclaré, mais elle peut être triée en cours de route, car les données critiques peuvent d'abord être stockées et protégées avec un nouveau chiffrement.
Au-delà des opérations bancaires, toutes sortes de données devront être migrées, y compris les milliards de dossiers médicaux générés et stockés aux États-Unis qui transitent par les prestataires et le système de santé dans son ensemble.
"La définition même de HIPAA devra désormais être mise à jour pour inclure la migration vers ces protocoles", a déclaré Hidary.
Pour l'avenir, il a déclaré que le passage aux initiatives de sécurité quantique signifie que les dirigeants des banques (et d'autres) ont la possibilité de repenser leur cyberarchitecture en général. Les meilleures pratiques impliquent la création de groupes de travail au sein de l'entreprise, réunissant différents départements et fonctions pour faire face au cyber-risque et protéger les actifs, les consommateurs et la confidentialité.
"Au sein de l'infrastructure bancaire et des sociétés de paiement, ce n'est pas seulement un problème pour le CSO, le directeur des sciences de l'information et le CTO", a-t-il déclaré. "Il est piloté au niveau du PDG et du conseil d'administration."
Pour les banques et les formulaires de paiement, exploiter la puissance du calcul quantique, même si c'est loin d'être le cas, peut générer une myriade d'avantages.
L'informatique quantique peut offrir une manière beaucoup plus sophistiquée et plus réseautée d'examiner les portefeuilles de risques et de prêts, en identifiant les problèmes qu'un certain nombre de clients (ou même un seul) peuvent présenter.
Même la blockchain (qui peut favoriser l'inclusion financière) est basée sur des protocoles vulnérables, a-t-il dit, car ils sont basés sur RSA.
Voir aussi : JPMorgan annonce un réseau de blockchain sécurisé quantique « viable »
Hidary a déclaré à Webster qu'il ne nous resterait peut-être que quelques semaines avant de voir les premières normes et spécifications sur ces protocoles - et un vent favorable pour que la communauté des paiements se réunisse et lance le processus de découverte. D'ici 2025, a-t-il déclaré, les banques et autres prestataires de services financiers auront migré vers des systèmes quantiques sûrs.
"Il est important que nous agissions avec une grande agilité", a déclaré Hidary. "Le RSA est la norme qui est avec nous depuis 1978 - il a bien fonctionné, mais nous devons passer au monde post-RSA."
———————————
NOUVELLES DONNÉES PYMNTS : LA VÉRITÉ SUR BNPL ET LES CARTES MAGASINÉES – AVRIL 2022
À propos : Les acheteurs qui ont des cartes de magasin les utilisent pour 87 % de tous les achats éligibles, mais cela ne signifie pas que les détaillants doivent commencer à acheter maintenant, payer plus tard (BNPL) dès la caisse. La vérité sur la BNPL et les cartes de magasin, une collaboration entre PYMNTS et PayPal, a interrogé 2 161 consommateurs pour découvrir pourquoi fournir à la fois la BNPL et les cartes de magasin est essentiel pour aider les commerçants à maximiser la conversion.
