Contre le piratage quantique, Signal dégaine une nouvelle arme pour sécuriser sa messagerie instantanée. Le protocole de l’application intègre le mécanisme SPQR. Rien à voir avec l’Empire romain : c’est un bouclier supplémentaire pour sécuriser les discussions dans un monde post-quantique. Et il a beaucoup d’avantages.

S. P. Q. R. : quatre lettres que tout spécialiste de l’Antiquité romaine connaît bien, car elles renvoient à une célèbre devise latine « Le Sénat et le peuple romain » (« Senatus populusque Romanus »). Dans le petit monde feutré de la cryptographie, ce sigle a une tout autre signification. Et cela constitue un virage important pour l’application Signal.

En effet, Signal a annoncé, le 2 octobre 2025, un changement dans la façon dont la messagerie instantanée se prépare au « péril » des ordinateurs quantiques, le jour où ils deviendront réalité. Dans un billet de blog, plutôt technique, Signal annonce le déploiement d’une nouvelle version de son protocole de chiffrement : SPQR.

SPQR, Sparse Post Quantum Ratchet, pour résister au piratage quantique

Cette fois, rien à voir avec la Rome antique : on parle ici de « Sparse Post Quantum Ratchet ». Il s’agit d’un nouveau mécanisme cryptographique qui doit améliorer encore la résistance des échanges chiffrés via Signal face aux capacités informatiques exceptionnelles des futurs ordinateurs quantiques. Et cela, en s’appuyant toujours sur de précédentes dispositions.

En effet, Signal a dès 2023 annoncé l’activation de la cryptographie post-quantique pour un service de messagerie grand public. Il était alors question de protocole PQXDH (Post-Quantum Extended Diffie-Hellman), succédant au vieillissant X3DH (Extended Triple Diffie-Hellman). Celui-ci est délaissé pour les nouvelles conversations depuis cette époque.

SPQR Signal
Le SPQR, façon cryptographie. // Source : Signal

Selon Signal, ce SPQR a les atouts suivants :

  • Léger : Le nouveau protocole n’utilise que très peu de bande passante supplémentaire, ce qui limite les coûts réseau pour les utilisateurs.
  • Transparent : Le déploiement se fait progressivement et automatiquement, sans aucune action requise de la part des utilisateurs.
  • Robuste : Toute tentative de sabotage exigerait de bloquer tous les messages après un certain point, ce qui provoquerait un déni de service immédiatement visible.
  • Fiable : Le code a été formellement vérifié et le sera à chaque mise à jour, pour garantir la solidité du protocole dans la durée.
  • Collaboratif : Ce travail est le fruit des ingénieurs de Signal, de chercheurs universitaires et de la communauté crypto au sens large.

Jusqu’à présent, l’approche de Signal était de combiner deux propriétés clés : la confidentialité persistante (Forward Secrecy), qui consiste à protéger les anciens messages même si une clé est compromise, et la sécurité post-compromission (Post-Compromise Security), qui vise à protéger les futurs messages d’une compromission passée.

Ces deux propriétés viennent d’un algorithme à Double Cliquet (ou Double Ratchet), conçu en 2013 par deux cryptographes, Trevor Perrin et Moxie Marlinspike, fondateur de Signal. Cela mêle un cliquet basé sur l’échange de clés Diffie-Hellman reposant sur les courbes elliptiques et un cliquet symétrique basé sur une fonction de dérivation de clés (KDF) alimentée par une fonction de hachage.

Or, développe Signal, il s’avère que si « les fonctions de hachage sont sécurisées contre les attaques quantiques, ce n’est pas le cas de la cryptographie sur courbe elliptique ». Dès lors, l’actuel Double Ratchet, bien qu’il constitue déjà une base technique solide, « n’est peut-être pas résistant aux attaques quantiques. »

« Le Double Ratchet n’est peut-être pas résistant aux attaques quantiques »

Signal

D’où l’idée de passer au… Triple Ratchet. Il s’agit en somme d’une approche hybride, qui combine à la fois le Double Ratchet existant et le SPQR. L’idée ? Les deux approches sont opérationnelles en parallèle, puis les clés issues du Double Ratchet et du SPQR sont mélangées pour former le Triple Ratchet, qui constitue le protocole final.

Cette mise à jour est importante, car les ordinateurs quantiques, en raison de leur fonctionnement particulier, pourront un jour casser des algorithmes classiques, parfois très facilement. De fait, il existe aujourd’hui une menace qu’on nomme : « Harvest now, Decrypt later » (« Récolter maintenant, déchiffrer plus tard »).

Autrement dit, des données actuellement chiffrées et protégées pourraient être dès à présent amassées pour le jour où l’on pourra les lire en clair en un claquement de qubit. Face à cette typologie d’attaque, on comprend donc le grand intérêt à basculer dès à présent sur des algorithmes post-quantiques, sans attendre l’émergence de machines quantiques.

Qu'est ce que le Q-Day ? // Source : Montage Numerama
Le Q-Day, un évènement dont se méfie la communauté des cryptographes, car il désigne le jour où le PC quantique deviendra réalité. // Source : Montage Numerama
Pour aller plus loin
Même pour un ordi quantique, il n'est pas simple de trouver un code de carte bancaire. // Source : Pixabay, montage Numerama
Même pour un ordi quantique, trouver votre code de carte bleue est un casse-tête

Que devez-vous faire pour passer au SPQR ? Rien : Signal s’occupe de tout

Pour Signal, c’est certain : ce Triple Ratchet « offre à nos utilisateurs une messagerie résistante aux attaques quantiques sans renoncer à nos garanties de sécurité actuelles ». Surtout, il dispose de l’extrême avantage de se déployer complètement en arrière-plan, sans aucun effort à faire. Rien à configurer pour l’internaute, tout sera transparent.

Alors, le jour où les journaux du monde entier annonceront que « les ordinateurs quantiques sont là », Signal en est certain : celles et ceux qui utilisent son application mobile n’auront pas à s’en faire. Ils pourront lire la nouvelle en haussant les épaules et vaquer à leurs occupations, sans crainte pour leur vie privée.

Reste un hic : cette paix d’esprit est vraie pour Signal. Elle le sera peut-être moins dans le reste de l’écosystème numérique, car il y aura bien d’autres choses à sécuriser.

La bonne nouvelle, cependant, c’est que Signal n’est pas le seul à travailler dessus. Proton et Apple s’y attèlent aussi. Et on sait que Signal est du genre à partager ses protocoles en open source. Ainsi, la version actuelle (sans SPQR) est employé dans des messageries très populaires : WhatsApp, Messenger ou Google Messages.

Pour aller plus loin
Source : Anton Maksimov 5642.su
Au fait, ça veut dire quoi « quantique » ?
Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !