La Cryptographie Quantique — [Le protocole BB84]

Bonjour à tous. Aujourd'hui, on va parler de cryptographique quantique. Il y a quelques semaines, l'Américain Charles Benet et le canadien Gilles Brassard ont tous les deux reçu le prix Turing pour leurs travaux en cryptographie quantique. Alors, le prix Turing, c'est un prix décerné chaque année à des informaticiens et c'est un peu l'équivalent du prix Nobel en informatique. C'est la récompense la plus prestigieuse qu'on puisse obtenir dans la discipline. Et bien dans cette vidéo, je vais justement vous parler des méthodes de cryptographie que Benet et Brassard ont imaginé pour sécuriser des communications en utilisant certaines propriétés quantiques très particulières comme la superposition et l'intrication. Petite parenthèse autopromo, je viens de sortir un nouveau livre. Ça s'appelle Le labo du jeu vidéo et ça parle de la science qui se cache derrière les jeux vidéos. Je vous en dis plus à la fin de l'épisode. Alors, commençons par rappeler les principes de la cryptographie. Imaginez que vous ayez un message à faire passer à quelqu'un par un canal de communication qui peut potentiellement être sur écoute. Ça peut être dans un contexte militaire ou bien simplement aujourd'hui une transaction ou un message sur internet. Pour éviter que des infos sensibles ne tombent aux mains de n'importe qui. Vous allez chiffrer votre message avant de l'envoyer. Donc le transformer en un charabia incompréhensible qui pourra transiter sans risque et votre interlocuteur devra le déchiffrer pour le reconstituer. Alors pour faire ça, on a généralement besoin de ce qu'on appelle une clé de chiffrement. C'est typiquement une longue suite de nombre ou de caractères qui va servir de paramètres d'entrée aux opérations de chiffrement et de déchiffrement. Si seul vous et votre interlocuteur connaissez la clé et si elle est suffisamment complexe, vous êtes tranquille. Personne ne pourra déchiffrer votre discussion. Le problème, c'est comment deux interlocuteurs peuvent-ils se mettre d'accord sur une clé de chiffrement à utiliser? Si on s'est rencontré physiquement avant, on a pu l'échanger. Mais en général, par exemple une communication chiffrée sur internet, on n'a pas eu l'occasion de se mettre d'accord sur une clé auparavant. Évidemment, on va pas se l'envoyer sur le réseau en clair, hein, sinon n'importe qui pourrait l'avoir. Ce problème-là, c'est ce qu'on appelle le problème de distribution de la clé. Alors, il existe des méthodes pour le résoudre qui se basent notamment sur des problèmes d'arithmétique et en utilisant des trucs à base de nombre premiers. Alors, j'avais déjà fait une vidéo sur le sujet. Le problème de ces méthodes, c'est que en théorie, un individu qui capterait vos communications et disposerait d'un ordinateur monstrueusement puissant aurait une chance de casser la clé de chiffrement et donc de récupérer vos échanges. Alors, en pratique, ça n'arrive pas parce qu'aucun ordinateur au monde n'est assez puissant, mais on peut imaginer qu'au fur et à mesure des progrès de l'informatique, ça puisse évoluer. notamment peut-être que vous échangez aujourd'hui des données sensibles qui sont chiffrées mais que quelqu'un stock en espérant avoir dans 20 ans la puissance de calcul pour les déchiffrer. Et avec certaines données, ben ça peut poser un problème. Vos données de santé actuelles seront peut-être toujours sensibles dans 20 ans. On dit que les méthodes de cryptographie actuelles ne sont pas future proof. Elles ne résisteront pas forcément à l'épreuve du temps. Et c'est ce problème que résout la cryptographie quantique et notamment l'algorithme baptisé BB84 du nom de Benet et Brassard et qu'ils ont imaginé en 1984. L'algorithme BB84, c'est un algorithme de distribution quantique de clés. C'est-à-dire que c'est une méthode qui permet à deux personnes éloignées de se mettre d'accord sur une clé de chiffrement de façon sécurisée. Alors quand je dis sécurisé, ça a un sens précis. La méthode ne garantit pas que la clé ne sera pas interceptée par un espion, mais elle garantit que si ça se produit, vous allez forcément tout de suite vous en rendre compte. Prenons une analogie. Imaginez que j'écrive ma clé sur un par-chemin et que j'ai scellé le parchemin avec de la cire et mon saut dessus et je vous expédis le parchemin pour vous communiquer la clé. Si quelqu'un intercepte le message et l'ouvre, bah bien sûr hein, il connaîtra la clé. Mais vous en recevant le parchemin, vous verrez que le saut a été brisé. et donc que la clé est compromise. Donc on pourra décider simplement de ne pas l'utiliser et de s'en renvoyer une autre éventuellement par un autre moyen. L'algorithme BB84, c'est un peu pareil. On s'envoie une clé. En théorie, elle peut être interceptée, mais si elle l'enracément compte parce qu'une sorte de saut quantique aura été brisé. Alors, voyons comment on procède. Comme système

quantique, on va utiliser des photons. Une chose que vous savez peut-être, c'est que les photons, comme la lumière en général, peuvent avoir une polarisation, c'est-à-dire en gros une direction privilégiée dans le plan perpendiculaire à la direction de propagation. Par exemple, pour un photon qui va dans cette direction, la polarisation peut-être ben celle-ci ou celle-là ou bien n'importe quelle orientation dans le plan perpendiculaire. C'est très facile de produire des photons ayant une polarisation donnée. On utilise un polariseur et l'orientation du polariseur détermine la direction de polarisation des photons qui le traversent. Maintenant, imaginez qu'on a le choix d'utiliser deux polariseurs avec des orientations à angle droit. Ça peut permettre de produire des photons dont la polarisation est soit horizontale soit verticale. Et donc ça peut servir à encoder de l'information de façon binaire. Pour illustrer ça, on va faire appel aux protagonistes habituels quand on parle de cryptographie et qu'on appelle par convention Alice et Bob. Pour transmettre une série d'informations en binaire, Alice envoie à Bob une série de photons en disant par convention que polarisation horizontale, ça représente un é0 et verticale, un 1. Et pour récupérer l'information, Bob n'a plus qu'à utiliser un appareil qui permet de mesurer la polarisation des photons. Alors, cet appareil, c'est en gros un système optique avec un cristal qui va envoyer le photon dans une direction ou une autre en fonction de sa polarisation horizontale ou verticale. Et Bob n'a plus qu'à mettre des détecteurs dans les deux chemins qui vont absorber le photon et envoyer une impulsion électrique. Et ça permet donc à Bob de savoir si chaque photon envoyé par Alice était un photon horizontal, donc représentant un é ou vertical. pour 1 et c'est comme ça qu'on se transmet des messages en binaire avec la polarisation des photons. Alors jusqu'ici pas grand chose de quantique, vous allez me dire maintenant que se passe-t-il si Alice décide de tourner ses polariseurs de 45° et d'envoyer des photons avec une polarisation diagonale? Et bien ça se complique. Si Bob a laissé son appareil dans son réglage précédent, donc le cristal réglé en horizontale vertical, quand un photon diagonal va arriver dessus, il va activer l'un ou l'autre des détecteurs au hasard. Une chance sur deux et pareil avec l'autre diagonale. La raison, c'est qu'une polarisation diagonale d'un point de vue quantique, on la voit comme une superposition des polarisations horizontales et verticales, un mélange 5050 des deux. Et donc les lois de la mécanique quantique nous disent que ce photon diagonal sera détecté comme horizontal dans la moitié des cas et vertical dans l'autre moitié. Donc imaginons que pour transmettre son message en binaire au lieu d'utiliser horizontal vertical ce qu'on va appeler la base rectiligne, Alice décide d'utiliser la base diagonale. Une diagonale pour é diagonale pour 1. Et bien si Bob a laissé son appareil réglé en base horizontale verticale, il va juste détecter des trucs complètement aléatoires. L'information binaire envoyée par Alice sera totalement perdue. Alors heureusement pour Bob, il y a une solution. Il suffit qu'il tourne le cristal de son détecteur de 45°. Et là, les directions seront bien alignées avec les polarisations et Bob pourra capter ce qu'Alis envoie. Le point essentiel dans cette affaire, c'est que quand on voit un photon arriver, il est impossible de savoir a priori dans quelle orientation il faut se mettre. Il n'existe aucun moyen de savoir dans quelle base le photon a été préparé. Rectiligne, diagonale ou n'importe quel autre. On est obligé de choisir un réglage en espérant avoir le bon. Si on est dans la bonne base, on aura accès à la vraie polarisation du photon. Si on est dans la mauvaise, on aura 0 ou 1 de façon aléatoire. Avec les bases diagonales et rectiles, ce sera donc faux une fois sur de Et quand on est dans ce cas-là, on a aucun moyen de le deviner, ni a priori ni à postériori. On a un détecteur qui se déclenche mais aucune solution pour confirmer si on était dans la bonne base ou pas. Et ça c'est vraiment un phénomène quantique. Si je vous dessine une droite sur un graphique et que je vous donne le papier, vous allez pouvoir mesurer exactement la direction de cette droite. Avec la direction de polarisation d'un photon, c'est fondamentalement impossible. La seule chose que vous puissiez faire, c'est choisir une base, espérer que ce soit la bonne et obtenir l'une ou l'autre des directions de la base. Et vous allez voir que c'est ce principe qui va nous permettre de faire l'équivalent quantique du saut brisé qui révélera à Alice et Bob qui sont en train de se faire espionner. [musique]

Revenons à notre problème initial. Le but pour Alice et Bob, c'est de se mettre d'accord sur une clé de chiffrement. Une fois que c'est fait, ils peuvent chiffrer et déchiffrer et donc se transmettre les infos même par un canal non sécurisé. Mais il faut arriver d'abord à créer cette clé partagée en ayant la garantie que personne d'autre n'a pu la pirater. Pour faire de la cryptographique antique, on va imaginer qu'en plus du canal de communication classique, disons internet, Alice et Bob sont reliés par une fibre optique qui permet de s'envoyer des photons polarisés. Et on imagine qu'Alice a une machine qui peut produire chacun des quatre types de photons qu'on vient de voir. Et voici ce qu'elle va faire. Alice va d'abord tirer au hasard une longue suite de 0 et de 1 et puis elle va tirer aléatoirement pour chacun soit la base rectiligne donc horizontale verticale, on symbolise ça par un plus, soit la base diagonale, on va mettre une croix. Et ensuite, elle va envoyer les photons un par un en polarisant selon cette règle. un 0 dans la base rectiligne horizontale, diagonale première diagonale, un 1 l'autre diagonale et cetera. Donc chaque photon a quatre polarisations possibles suivant le choix de la base et qu'il représente un 0 ou un 1. Maintenant mettons-nous à la place de Bob à l'autre bout de la fibre optique. Il voit arriver ses photons. Il sait qu'Alice a choisi de se mettre chaque fois soit en base rectiligne soit en base diagonale. Sauf que Bob ne sait pas a priori quelle base Alice a choisi pour chacun des photons. Alors qu'est-ce qu'il fait? Et ben, il choisit au pif pour chaque un coup rectiligne, un coup diagonal à une chance sur deux. Quand il tombe juste, ça se produit une fois sur deux, il obtient un nombre binaire qui est vraiment celui qu'Alice avait décidé d'envoyer. Ce sont les chiffres en vert ici. Par contre, quand il choisit la mauvaise base, bah il obtient 0 ou 1 à 5050 indépendamment de ce qu'Alis avait et donc ça peut tomber juste ou faux. Alors moi je vous représente ça avec des couleurs parce qu'on sait quelles sont les fois où la base était bonne. Mais Bob lui il en sait rien. Il a choisi ses base sans connaître celle d'Alice. Donc il ne sait pas a priori quels sont les zéos ou les 1 qui sont justes dans sa série. Sauf qu'une fois que c'est fait, que tous les photons ont été transmis et mesurés, Alice et Bob s'appellent au téléphone par internet ou par n'importe quel canal classique. Et là vous allez voir que peu importe si la ligne est sur écoute, ça n'aura pas d'incidence sur la suite. Par ce canal, ils se communiquent l'un l'autre la séquence des bases qu'ils ont utilisé respectivement et ils se mettent d'accord pour ignorer toutes les fois où ça n'est pas la même. Donc une fois sur deux, ils jettent complètement ces infosl et avec ce qui reste quand ils auront choisi la même base, ils ont la certitude d'avoir la même liste de 0 et de 1 et c'est ça qu'ils vont utiliser pour fabriquer une clé de chiffrement. Alors, vous allez me dire qu'est-ce qui empêche EV? Oui, c'est le nom qu'on donne traditionnellement à l'espionne hypothétique qui essaierait de pirater les communications entre Alice et Bob. Qu'est-ce qui empêche Ev donc de mesurer les photons quand il passe dans la fibre optique, d'écouter la conversation téléphonique après et donc bah d'avoir accès à la clé? Et ben rien en principe. Mais vous allez voir que si Eve est effectivement en train de faire ça, Alice et Bob ont les moyens de s'en rendre compte. Alors mettons-nous à la place d'Eve. Elle pirate la fibre optique en s'interposant, place un détecteur comme celui de Bob pour mesurer la polarisation des photons envoyés par Alice. Sauf que Eve a le même problème que Bob. Elle ne sait pas pour chaque photon qui arrive quelle base il faut utiliser. Donc elle doit bah comme Bob choisir au hasard à chaque fois. Une fois sur deux, elle va tomber juste mais quand elle se trompe de base, elle aura une réponse aléatoire. L'autre problème dev c'est que pour mesurer la polarisation des photons, elle les absorbe dans son détecteur. Donc elle les détruit. Et pour maintenir l'illusion, bah il faut qu'elle renvoie des photons dans la fibre en direction de Bob en utilisant la même machine qu'Aliss et en choisissant à chaque fois lequel des quatre types de photon envoyés. Imaginons que le photon qui arrive soit dans la base diagonale et que ce soit effectivement celle-ci qu'Eve est choisie pour son détecteur. Elle va détecter la vraie polarisation du photon et elle pourra le renvoyer à l'identique ni vu ni connu. Mais si elle s'est trompée de base, ce qui arrive une fois sur deux en moyenne, elle enverra un photon différent de celui d'origine, polarisé dans la mauvaise base, ici en rectiligne alors que le photon d'origine était diagonal. Donc revenons à Alice et Bob. Ils se sont appelés, ils ont jeté la moitié des infos correspondant au cas où ils étaient pas dans la même base. Et en théorie, pour l'autre moitié, quand ils ont choisi la même base, bah ça devrait coller parfaitement. Sauf que si EV est là au milieu à essayer d'intercepter la communication, on l'a dit, elle va de temps en temps introduire des erreurs en renvoyant le photon, c'est-à-dire des photons qui une fois mesurés par Bob apparaîtront différents de ceux d'Alice, même s'ils avaient choisi la même base, eux. Donc une fois qu'ils se sont appelés et qu'ils ont retenu uniquement les bases en commun, Bob et Alice peuvent en plus décider de sacrifier certains des nombres restants et de se les révéler pour les comparer et pour vérifier que conformément à la théorie, ils sont bien parfaitement identiques. Et s'ils se rendent compte que certains sont différents, et bien ça veut dire que quelqu'un a introduit des erreurs en essayant de les écouter qui sont en train de se faire pirater la fibre optique. C'est l'équivalent quantique du saut brisé. S'il y a trop de discordance, Alice et Bob peuvent décider simplement de ne pas utiliser la clé et soit de recommencer, soit de changer de canal. Voici donc le principe de l'algorithme BB84 qui permet ainsi de faire de la distribution de clés sécurisées en exploitant les propriétés fondamentales de la mécanique quantique. Alors, en pratique, tout n'est pas si idéal que le scénario que j'ai décrit, hein. Les transmissions ne sont jamais parfaites et sur un énorme coup de bol, F pourrait deviner les bonnes bases à utiliser. Donc, il y a toujours des calculs de probabilité derrière. Alice et Bob ont une garantie de sécurité à une certaine probabilité. laquelle dépend notamment du nombre de 0 et de 1 qu'il décide de sacrifier pour détectuer un éventuel espion. S'ils se rendent compte que la probabilité que leur clé soit potentiellement compromise est supérieure à un certain seuil acceptable, ils peuvent réessayer ou passer par un autre canal jusqu'à avoir la garantie que leur clé soit suffisamment sûre. Et quand ils sont convaincus d'avoir pu se transmettre la clé de façon suffisamment sécurisée, ils peuvent chiffrer et déchiffrer et passer leur messages cette fois par le canal classique internet ou autre. Plus besoin des photons et des détecteurs. Alors, il est en tête que je vous passe quand même certains détails. Il y a aussi toute une ingénierie de théorie de l'information pour s'assurer que Alice et Bob possèdent effectivement bien la même clé. [musique]

Alors, fondamentalement, pourquoi ça marche tout ça? Pourquoi est-ce qu'on a une garantie de sécurité? Et bien, la raison profonde, c'est qu'en mécanique quantique, il est impossible quand on a un photon dont on ne connaît pas la polarisation de la mesurer à coup sûr. Le mieux qu'on puisse faire, c'est de choisir une base et espérer que ce soit la bonne. Mais on a aucun moyen de deviner à l'avance quelle serait la bonne base. Le photon ne peut pas le révéler. Et ça c'est fondamentalement lié au principe de superposition en mécanique quantique. Alors intuitivement, on pourrait se dire est-ce que F pourrait pas faire autrement quand elle l'intercepte la ligne plutôt que d'absorber les photons, ce qui l'expose au risque de se faire détecter? Est-ce qu'elle pourrait pas essayer de faire une sorte de photocopie de chaque photon qui passe? Comme ça, elle le laisse intacte, elle ne se fait pas détecter et là, elle a le temps d'essayer de mesurer la polarisation dans les deux bases et de voir ce qu'il en est. Mais non, ça marche pas non plus. Et pour les mêmes raisons fondamentales, en mécanique quantique, il existe ce qu'on appelle le théorème de non clonage qui dit qu'il est impossible de recopier à l'identique l'état quantique d'un système dont on ne sait rien. Si on ne sait pas dans quelle base a été polarisé le photon, on ne peut pas en créer un clone parfait. Puisque toute mesure perturbe potentiellement le système qu'on est en train d'étudier et ce de façon imprévisible, il est impossible de cloner un objet quantique. Et c'est ça qui permet de rendre le protocole BB84 sécurisé. Alors le protocole BB84 a été

le premier protocole de cryptographie quantique proposé mais il y en a eu d'autres depuis basé notamment sur un principe relié celui de l'intrication quantique. C'est le cas du protocole BBM92 des mêmes Benet et Brassard accompagné de David Mermin mais aussi du protocole E91 de Arthur Ekert. Le principe de BBM92 est similaire à BB84 mais en utilisant des paires de photons intriquées. Ce sont qui vont dans deux directions différentes et qui sont dans un état superposé de sorte que les deux photons soient toujours mesurés dans des configuration opposé. Et sans rentrer dans les détails, l'idée est la même que BB84. C'est-à-dire que si Evce l'un des photons de la paire pour le mesurer et tenter de le répliquer, Alice et Bob auront un moyen de s'en rendre compte en constatant des désaccords dans leur mesure. Le protocole E91 est plus subtile et il repose sur la violation des inégalités de Belle, un phénomène qui est la signature expérimentale de l'intrication quantique. Alors pour rappel, la violation des inégalités de Belle, c'est notamment l'expérience qui a valu à Alain Aspect son prix Nobel en 2022. Dans le protocole E91, Alice et Bob vont sacrifier une partie de leurs photons pour vérifier que les corrélations quantiques violent effectivement les inégalités de Belle comme c'est censé être le cas. En gros, Alice et Bob reproduisent l'expérience d'all et vérifient qu'elle marche. Mais si jamais Ev est en train d'écouter sur la ligne, une partie de ces corrélations quantiques seront perdues et trahiront sa présence. Quand les résultats de l'expérience d'allaspect sont inférieurs à ce qu'il devrait être, c'est un signe que potentiellement quelqu'un est en train de brouiller les mesures en tentant d'intercepter les photons. Alors, le protocole E91 est un peu plus compliqué à réaliser, mais il a l'avantage de mieux tolérer la présence de défaillance ou de piratage des appareils d'Alice et de Bob. On peut montrer en effet que dans les protocoles BB, si un attaquant malveillant a la possibilité d'envoyer certains signaux particuliers sur par exemple le détecteur de Bob, ça peut lui permettre de maquiller sa présence. Bon, de ce point de vue-là, E91 est plus robuste. Alors, parmi les failles possibles de ces protocoles cryptographiques, il en existe d'autres qui sont notamment liés à la mise en œuvre pratique, par exemple les générateurs aléatoires utilisés. Mais il y a aussi un présupposé important qui est que quand Alice et Bob se contactent par un canal de communication classique, par exemple pour comparer leur base de mesure dans le protocole BB84, il faut qu'ils puissent respectivement s'authentifier avec certitude. C'est-à-dire qu'Alice doit être certaine que c'est bien à Bob qu'elle est en train de parler et réciproquement. Si ça n'est pas le cas, Ev pourrait s'interposer complètement et se faire passer respectivement pour l'un et l'autre, ce qui lui permet d'avoir accès à tout ce qu'elle veut. C'est ce qu'on appelle parfois l'attaque de l'homme du milieu. Alors, heureusement, il existe des méthodes d'authentification qui permettent de signer numériquement des messages et qui reposent sur des techniques classiques de cryptographie à base d'arithmétique. Aujourd'hui, le protocole BB84 est déjà largement déployé et commercialisé depuis pas mal d'années par des entreprises comme ID quantique. Pour E91 ou ses variantes plus robustes, c'est encore en phase de développement et il y a eu ces dernières années pas mal d'annonces de démonstrateurs, notamment du côté de la Chine avec le satellite MIUS. Alors, comme je disais en introduction, l'intérêt de la cryptographie quantique, c'est de pouvoir potentiellement prendre le relais de la cryptographie classique, celle basée sur des techniques arithmétiques dans l'éventualité où cette dernière deviendrait trop fragile. Ce qui pourrait d'ailleurs causer cette fragilité, c'est le développement d'ordinateur quantique capable de casser des problèmes d'arithmétique, notamment des problèmes de factorisation d'une façon bien plus rapide qu'un ordinateur classique. Les ordinateurs quantiques sont une menace pour la cryptographie classique. Et ce qu'on vient de voir, c'est que face à cette menace, la solution ça serait de faire de la cryptographique quantique. C'est plutôt ironique de voir que la mécanique quantique est ici à la fois le problème et la solution. Voilà, c'est tout pour aujourd'hui. Pour ceux que ça intéresse, je vous rappelle que j'ai sorti il y a peu mon nouveau livre, le labo du jeu vidéo. J'y parle de la science qui se cache dans les jeux vidéos, des maths, de la physique, de la biologie, des sciences sociales. Je vous explique comment toutes ces disciplines aident à rendre les jeux plus réalistes et plus fun. N'hésitez pas à jeter un œil dans toutes les bonnes librairies. Vous pouvez aussi soutenir la chaîne sur les plateformes de don comme Tipi ou Patreéon si le cœur vous en dit. Et puis moi je vous dis à très vite pour une nouvelle vidéo. À bientôt.