Cloudflare a annoncé aujourd’hui avoir achevé l’intégration de la cryptographie post-quantique sur l’ensemble de sa plateforme Cloudflare One SASE, devenant le premier fournisseur à offrir un chiffrement résistant aux ordinateurs quantiques pour les réseaux d’entreprise. Le déploiement, qui protège contre les futures attaques « Harvest Now, Decrypt Later » menées par des ordinateurs quantiques, est disponible pour tous les clients sans coût supplémentaire et ne nécessite aucune configuration manuelle pour la plupart des utilisateurs.
La mise en œuvre couvre tous les principaux composants de la plateforme SASE de Cloudflare, y compris la Secure Web Gateway, les services Zero Trust, et les offres récemment ajoutées WAN-as-a-Service, d’après le billet de blog de l’entreprise. Cela crée un environnement chiffré de bout en bout protégeant les données lors de leur transit des appareils des utilisateurs via le réseau de Cloudflare jusqu’aux ressources privées, même lorsque les serveurs de destination ne disposent pas de capacités résistantes à l’informatique quantique.
Le système utilise ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism), la norme cryptographique retenue par l’Institut national des normes et de la technologie (NIST) des États‑Unis, a déclaré Cloudflare. L’entreprise adopte une approche hybride qui exécute le chiffrement post-quantique parallèlement à des algorithmes traditionnels tels que ECDHE, garantissant une protection contre les menaces actuelles et futures tout en maintenant la compatibilité avec les systèmes plus anciens.
Stratégie de déploiement par étapes
Cloudflare met en œuvre un déploiement en deux phases afin de garantir la stabilité pour sa base de clients. La première phase, que l’entreprise compte avoir achevée pour les clients WARP grand public d’ici septembre 2025 et prévue pour les agents d’entreprise d’ici la fin de l’année 2025, établit des connexions résistantes à l’informatique quantique mais bascule sur un chiffrement classique si nécessaire.
La deuxième phase, prévue pour mi-2026, appliquera des connexions post-quantiques de manière exclusive, en rejetant toute connexion qui ne peut pas établir un chiffrement résistant à l’informatique quantique afin de prévenir les attaques par rétrogradation, selon l’annonce de Cloudflare. Les administrateurs d’entreprise peuvent activer cette sécurité plus stricte immédiatement via les paramètres de configuration MDM.
Implications sur le marché
Cette initiative place Cloudflare en avance sur ses concurrents dans la lutte contre les menaces posées par l’informatique quantique, qui, selon les experts en sécurité, pourraient compromettre les données chiffrées d’aujourd’hui une fois que les ordinateurs quantiques deviendront suffisamment puissants. L’entreprise oppose explicitement son approche fondée sur des standards à ce qu’elle décrit comme l’adoption par les concurrents de plusieurs suites de chiffrement non standard qui pourraient créer des problèmes d’interopérabilité.
Cloudflare soutient que sa mise en œuvre offre une alternative concrète à la Quantum Key Distribution (QKD), que l’entreprise juge peu pratique pour un déploiement Internet à grande échelle. L’intégration s’étend sur les protocoles Layer 3, Layer 4 et MASQUE, offrant une couverture complète pour diverses configurations réseau.
Bien que Cloudflare signale un impact minime du nouveau chiffrement sur les performances, des benchmarks spécifiques n’ont pas été publiés. L’entreprise indique que des mises à jour futures traiteront des signatures numériques post-quantiques pour l’authentification, bien que cela soit considéré comme moins urgent que la protection des données en transit.
Sources
- Cloudflare
