« Cryptographie » : différence entre les versions

La cryptographie est la science qui étudie les techniques permettant de sécuriser les communications et les données en les rendant illisibles pour toute personne non autorisée. Issue du grec kryptós (caché) et gráphein (écrire), elle constitue un pilier de la cybersécurité moderne. Les premières formes de cryptographie apparaissent dès l'Antiquité, mais c'est au cours du XX^e siècle, avec l'avènement de l'informatique, qu'elle se transforme en une discipline mathématique rigoureuse. Aujourd'hui, elle protège des milliards de transactions numériques chaque jour, des communications bancaires aux échanges diplomatiques.

Les premières traces de cryptographie connues remontent à l'Égypte ancienne, vers 1900 avant J.-C., avec l'utilisation de hiéroglyphes non standards dans une inscription funéraire à Menet Khufu. Jules César est célèbre pour l'emploi d'un chiffrement par décalage (le chiffre de César), qui consiste à décaler chaque lettre de l'alphabet d'un nombre fixe de positions. Au IX^e siècle, le mathématicien arabe Al-Kindi décrit, dans son Manuscrit sur le déchiffrement des messages codés, la première méthode d'analyse de fréquence permettant de casser les substitutions monoalphabétiques.

Le chiffre de Vigenère (1553) introduit la substitution polyalphabétique, restée considérée comme inviolée pendant trois siècles. La machine Enigma, développée dans les années 1920 et utilisée par l'Allemagne nazie durant la Seconde Guerre mondiale, représente l'aboutissement des chiffrements mécaniques à rotors. Son déchiffrement par Alan Turing et les équipes de Bletchley Park entre 1940 et 1945 constitue un tournant décisif pour les Alliés et pose les bases de l'informatique moderne.

En 1949, Claude Shannon publie Communication Theory of Secrecy Systems, qui fonde la cryptographie sur la théorie de l'information et démontre la sécurité inconditionnelle du masque jetable (one-time pad). En 1976, Whitfield Diffie et Martin Hellman publient New Directions in Cryptography, introduisant le concept de cryptographie asymétrique et le protocole d'échange de clés Diffie-Hellman. En 1977, Ronald Rivest, Adi Shamir et Leonard Adleman proposent RSA, premier algorithme à clé publique pratique. En 2001, l'AES (Advanced Encryption Standard) est adopté comme standard américain par le NIST pour remplacer le DES, dont la clé de 56 bits est devenue insuffisante.

Le chiffrement symétrique utilise une même clé secrète pour chiffrer et déchiffrer les données. Il est rapide et adapté aux grandes quantités de données. L'AES opère sur des blocs de 128 bits et supporte des clés de 128, 192 ou 256 bits. Le DES (Data Encryption Standard, 1977) et son successeur Triple-DES sont désormais considérés comme obsolètes. Parmi les autres algorithmes symétriques figurent ChaCha20, utilisé notamment dans TLS 1.3, et Blowfish.

La cryptographie asymétrique, ou à clé publique, repose sur une paire de clés mathématiquement liées : une clé publique diffusée librement et une clé privée conservée secrète. RSA est fondé sur la difficulté de factoriser de grands entiers ; une clé RSA de 2 048 bits est considérée comme sûre jusqu'à environ 2030 selon les recommandations du NIST. La cryptographie sur courbes elliptiques (ECC) offre un niveau de sécurité équivalent avec des clés plus courtes — 256 bits ECC correspondent approximativement à 3 072 bits RSA —, ce qui la rend adaptée aux environnements contraints tels que l'IoT et les cartes à puce. L'infrastructure à clés publiques (PKI) organise la distribution et la validation de ces clés via des certificats numériques.

Une fonction de hachage cryptographique transforme une entrée de taille arbitraire en une empreinte numérique de taille fixe, de façon déterministe et pratiquement irréversible. SHA-256 (256 bits) et SHA-3 sont les standards actuellement recommandés par le NIST. MD5 est cassé depuis 2004 et SHA-1 est déprécié depuis 2017. Le hachage sert à vérifier l'intégrité des données, à stocker les mots de passe sous forme salée (bcrypt, Argon2) et dans les mécanismes de signature numérique.

La signature numérique permet d'authentifier l'origine d'un message et d'en garantir l'intégrité sans que l'émetteur puisse la répudier. Elle repose sur le chiffrement asymétrique : l'émetteur signe le haché du message avec sa clé privée ; le destinataire vérifie avec la clé publique correspondante. Les algorithmes dominants sont RSA-PSS, ECDSA (basé sur les courbes elliptiques) et EdDSA (Ed25519). Le règlement européen eIDAS (règlement n° 910/2014, révisé par eIDAS 2.0 en 2024) confère une valeur juridique aux signatures électroniques qualifiées dans l'ensemble de l'Union européenne.

Un protocole cryptographique combine plusieurs primitives — chiffrement, hachage, signature — pour atteindre un objectif de sécurité composite. Le protocole TLS (Transport Layer Security) protège la majorité du trafic web via HTTPS ; TLS 1.3, standardisé en 2018 (RFC 8446), supprime les suites de chiffrement obsolètes et réduit la latence de négociation d'un aller-retour. Le protocole SSH sécurise les connexions à distance. IPsec est utilisé dans les VPN, dont OpenVPN et WireGuard.

Algorithme	Type	Taille de clé recommandée	Usage principal
AES-256	Symétrique	256 bits	Chiffrement de volumes, bases de données, communications
RSA-2048	Asymétrique	2 048 bits	Échange de clés, signature
ECC P-256	Asymétrique	256 bits	Certificats TLS, IoT
ChaCha20-Poly1305	Symétrique (AEAD)	256 bits	TLS 1.3, applications mobiles
SHA-256	Hachage	256 bits	Intégrité, mots de passe, blockchain
Ed25519	Signature	256 bits (courbe)	SSH, Git, systèmes embarqués

Le NIST mène depuis 2016 un processus de standardisation des algorithmes post-quantiques. En août 2024, il a publié trois premiers standards : ML-KEM (issu de CRYSTALS-Kyber) pour l'encapsulation de clés, ML-DSA (CRYSTALS-Dilithium) et SLH-DSA (SPHINCS+) pour les signatures numériques résistantes aux ordinateurs quantiques.

Le chiffrement de bout en bout garantit que seuls les interlocuteurs d'une communication peuvent lire les messages échangés, à l'exclusion de l'opérateur de la plateforme. Il est implémenté dans Signal (protocole Signal basé sur l'algorithme Double Ratchet), WhatsApp et iMessage. Le chiffrement des données au repos protège les fichiers stockés sur disque dur ou SSD (BitLocker sous Windows, FileVault sur macOS, LUKS sous Linux).

La cryptographie sous-tend les mécanismes d'authentification multifacteur (MFA) : TOTP (Time-based One-Time Password, RFC 6238) génère un code à 6 chiffres toutes les 30 secondes via HMAC-SHA1 ; FIDO2 utilise des paires de clés ECC enregistrées sur un authenticateur matériel ou logiciel pour une authentification sans mot de passe. La gestion des identités et des accès (IAM) intègre ces protocoles dans des flux OAuth 2.0 et OpenID Connect.

Les registres distribués de la blockchain utilisent SHA-256 (Bitcoin) ou Keccak-256 (Ethereum) pour chaîner les blocs par hachage et des signatures ECDSA pour autoriser les transactions. La résistance des primitives cryptographiques employées conditionne directement la sécurité du réseau : une rupture de SHA-256 remettrait en cause l'intégrité de l'ensemble de la chaîne Bitcoin.

Les certificats numériques X.509, émis par des autorités de certification (CA), lient une clé publique à une identité vérifiée. En 2024, l'autorité Let's Encrypt gère plus de 300 millions de certificats actifs. L'infrastructure à clés publiques (PKI) organise la hiérarchie de confiance entre CA racines, CA intermédiaires et certificats d'entité finale, permettant aux navigateurs de valider l'identité d'un serveur web avant tout échange chiffré.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) publie le Référentiel Général de Sécurité (RGS), qui impose des algorithmes et des tailles de clé minimales pour les systèmes d'information de l'État. Le RGS v2.0 recommande AES-128 au minimum pour le chiffrement symétrique et interdit explicitement DES, RC4 et MD5. La conformité RGPD (Règlement (UE) 2016/679, applicable depuis mai 2018) stipule à son article 32 que le chiffrement des données à caractère personnel constitue une mesure technique appropriée pour réduire les risques de violation.

L'ISO/IEC 27001 intègre le chiffrement dans son annexe A (contrôle A.10 « Cryptographie »), qui exige la définition d'une politique d'utilisation des contrôles cryptographiques et la gestion des clés tout au long de leur cycle de vie. Le NIST Cybersecurity Framework (version 2.0, 2024) classe les contrôles cryptographiques dans la fonction « Protect » (PR.DS — Data Security). La directive NIS2 (2022/2555/UE, entrée en application en octobre 2024) impose aux entités essentielles et importantes des mesures incluant le chiffrement des communications et des données stockées.

La cryptographie quantique recouvre deux domaines distincts. La distribution quantique de clés (QKD, Quantum Key Distribution) exploite les propriétés de la mécanique quantique — superposition et intrication — pour partager une clé de chiffrement : toute tentative d'interception perturbe les qubits transmis et est détectable par les parties légitimes. Le protocole BB84 (Charles Bennett et Gilles Brassard, 1984) constitue le fondement théorique de la QKD ; des déploiements commerciaux existent (Toshiba, ID Quantique), mais restent limités à des infrastructures dédiées à courte portée.

D'autre part, la cryptographie post-quantique (PQC) désigne les algorithmes classiques conçus pour résister aux attaques d'un ordinateur quantique suffisamment puissant. L'algorithme de Shor (Peter Shor, 1994) démontre qu'un tel ordinateur pourrait factoriser de grands entiers en temps polynomial, rendant ainsi RSA et ECC vulnérables. Cette perspective a conduit le NIST à finaliser en 2024 les premiers standards PQC : ML-KEM, ML-DSA et SLH-DSA. La migration vers ces algorithmes constitue un enjeu stratégique pour les organisations qui gèrent des données dont la confidentialité doit être préservée au-delà de 2030.

La cryptographie est une compétence transverse dans les métiers de la cybersécurité. Le RSSI (responsable de la sécurité des systèmes d'information) définit les politiques cryptographiques de l'organisation et supervise le choix des algorithmes selon les niveaux de risque identifiés. Les experts en test d'intrusion évaluent la solidité des implémentations cryptographiques — mauvais usage de vecteurs d'initialisation, clés codées en dur, algorithmes obsolètes, entropie insuffisante. Les architectes de modèle Zero Trust conçoivent des systèmes où chaque communication est chiffrée et chaque accès est mutuellement authentifié.

Les formations en cryptographie s'appuient sur des fondements en mathématiques (théorie des nombres, algèbre abstraite, probabilités) et en informatique théorique. En France, plusieurs masters forment des cryptographes : master MPRI (Paris, option sécurité et cryptographie), master CRYPTIS (université de Limoges), master M2 SeCReTS (Paris-Saclay). Des certifications professionnelles internationales comme CISSP (Certified Information Systems Security Professional) ou CISM incluent des modules dédiés à la cryptographie appliquée, à la gestion du cycle de vie des clés et à l'évaluation des algorithmes.

• Chiffrement des données
• Chiffrement de bout en bout
• Infrastructure à clés publiques
• Signature numérique
• Hachage cryptographique
• Protocole TLS
• Certificat numérique
• Cryptographie quantique
• Cybersécurité
• ANSSI
• RGS (Référentiel Général de Sécurité)
• ISO/IEC 27001
• Directive NIS2
• EIDAS
• Authentification multifacteur
• FIDO2
• TOTP
• VPN (réseau privé virtuel)
• Blockchain et cybersécurité
• Responsable de la sécurité des systèmes d'information
• Modèle Zero Trust
• Test d'intrusion