Question de M. MAUREY Hervé (Eure - UC) publiée le 13/03/2025
M. Hervé Maurey attire l'attention de M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique sur les risques inhérents au développement de l'informatique quantique sur la sécurité des paiements par carte bancaire à moyen-terme.
Au sein de son rapport annuel 2023, la Banque de France a publié une étude concernant les effets éventuels du développement de l'informatique quantique sur la sécurité des paiements par carte bancaire. Celle-ci souligne que la technologie quantique présente des risques importants pour la technologie sur laquelle repose actuellement nos cartes bancaires.
En effet, dans le cadre, aujourd'hui sécurisé, des transactions avec demande d'autorisation en ligne et vérification du code PIN hors-ligne, la technologie quantique pourrait être en mesure d'intercepter ce code de validation en cours de procédure. L'informatique quantique pourrait, par ailleurs, faciliter la généralisation des cartes de paiement frauduleuses de type « Yes Card » qui permettent de simuler le paiement de la transaction sur des distributeurs automatiques d'essence ou de boisson par exemple.
Cette étude met donc en évidence le risque de la fin de la confidentialité des opérations de paiement, de vol de données, de génération de paiements frauduleux non-identifiables a priori, pouvant nuire à la réputation des acteurs économiques et potentiellement entraîner une crise de confiance des usagers.
Elle souligne, tout particulièrement, que, s'il existe déjà des méthodes alternatives de chiffrement qui pourraient être déployées avant l'essor de l'informatique quantique, la migration post-quantique des algorithmes de chiffrement asymétrique poserait, quant à elle, des difficultés et requerrait, d'ores et déjà, des efforts de recherche et développement en la matière de la part des acteurs de la chaîne de paiement.
La Banque de France recommande donc d'inventorier les différents dispositifs de sécurité des systèmes d'information et d'évaluer les vulnérabilités, notamment par rapport aux standards actuels et au risque quantique ; de hiérarchiser les données selon leur degré de sensibilité ; de réaliser des expériences d'implémentation d'algorithmes asymétriques et que chaque acteur de la chaîne de paiement constitue une feuille de route en matière d'informatique quantique.
À la lumière de cette étude de la Banque de France et de ses recommandations, il souhaite connaître les mesures que compte prendre le Gouvernement afin de préparer les systèmes de paiement par carte bancaire à l'ère de l'informatique quantique.
- page 1069
Réponse du Ministère de l'économie, des finances et de la souveraineté industrielle et numérique publiée le 05/06/2025
Le Gouvernement est pleinement mobilisé pour anticiper les risques que pourrait faire peser l'informatique quantique sur la sécurité des systèmes de paiement. Si cette technologie[i] offre des perspectives très intéressantes pour l'avenir, elle soulève des enjeux en matière de sécurité dans le numérique. Le sujet est également suivi de manière attentive par l'Observatoire de la sécurité des moyens de paiement (OSMP)[ii], dans le cadre de sa mission de veille technologique, sur la sécurité des paiements à l'ère de l'information quantique. Dans son rapport annuel 2023, l'OSMP a publié une étude spécifique sur les effets de l'informatique quantique, soulignant la nécessité d'engager dès à présent les travaux de migration vers des standards cryptographiques post-quantiques. Les acteurs privés du paiement, qui sont les premiers responsables de la sécurité des dispositifs qu'ils mettent en oeuvre, sont encadrés par le cadre européen Payment Instruments, Schemes and Arrangements (PISA), qui permet une supervision harmonisée des instruments de paiement et impose des exigences élevées en matière de sécurité. La Banque de France a, pour sa part, intégré les recommandations issues du rapport de l'OSMP dans ses activités de surveillance prudentielle et opérationnelle, tant à l'égard des établissements bancaires que des systèmes de paiement par carte. Le groupement Cartes Bancaires (CB) a également élaboré une feuille de route technologique détaillée, incluant un chantier structurant sur l'évolution cryptographique des cartes, afin de prendre en compte la menace posée par l'informatique quantique[iii]. De leur côté, les principaux réseaux de paiement internationaux travaillent activement sur le sujet : Visa mène des recherches sur les protocoles post-quantiques via son centre Visa Research[iv], et Mastercard consacre également des travaux prospectifs à ce sujet, dans le cadre de sa stratégie de sécurisation des paiements à long terme[v]. Au-delà du secteur des paiements, la France a lancé dès 2021 un plan d'investissement de 1,8 milliard d'euros sur cinq ans dans la recherche sur l'informatique quantique. La stratégie nationale quantique s'inscrit dans le cadre du plan France 2030, afin de garantir son autonomie stratégique et faire de la France un leader mondial du quantique ; ceci, par l'union des forces de l'Etat, des industriels, des investisseurs privés et des startups. Le Gouvernement agit également en coordination étroite avec ses partenaires européens. La recommandation (UE) 2024/1101 de la Commission du 11 avril 2024[vi] établit une feuille de route pour la mise en oeuvre coordonnée de la transition vers la cryptographie post-quantique. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) participe activement à ces travaux, en lien avec ses homologues européens. Elle a publié plusieurs documents de référence, dont « Securing Tomorrow Today: Transitioning to Post-Quantum Cryptography »[vii] une déclaration conjointe de 18 États membres, adoptée le 27 novembre 2024, qui détaille les mesures de transition recommandées. Celle-ci appelle à faire de la transition vers la cryptographie post-quantique une priorité stratégique et recommande de protéger les systèmes sensibles contre les attaques de type store now, decrypt later d'ici fin 2030 et d'établir dès maintenant des plans de migration, notamment pour les infrastructures à clés publiques (PKI). Un groupe de travail européen dédié, coprésidé par la France, l'Allemagne et les Pays-Bas, a été mis en place dans le cadre de la directive Network and Information System Security (NIS)[viii] pour piloter cette transition, conformément à la recommandation (UE) 2024/1101. Le Gouvernement continuera de suivre avec attention les travaux portant sur les applications de l'informatique quantique aux moyens de paiement, et veillera en particulier à ce que les cartes de paiement conservent un haut niveau de sécurité et de robustesse face aux menaces émergentes. -------------------- [i] Informatique quantique : type de calculs réaliser grâces aux principes de mécanique quantique, d'ingénierie informatique et de mathématiques avancées que ne peuvent être réalisés par les ordinateurs conventionnels. Informations traitées avec des qubits (source : BDF/MAS). [ii] Créé en 2016, l'Observatoire de la sécurité des moyens de paiement (OSMP) est une instance destinée à favoriser l'échange d'informations et la concertation entre toutes les parties (consommateurs, commerçants et entreprises, autorités publiques et administrations, banques et gestionnaires de moyens de paiement) concernées par le bon fonctionnement des moyens de paiement et la lutte contre la fraude. [iii] https://www.cartes-bancaires.com/actualites/ia-quantique-neurosciences-le-futur-du-paiement-est-deja-la/ [iv] https://usa.visa.com/about-visa/visa-research/research-areas.html [v] https://www.mastercard.com/news/insights/mastercard-signals/2023/an-introduction-to-quantum-computing/ [vi] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=OJ:L_202401101 [vii] https://cyber.gouv.fr/publications/securing-tomorrow-today-transitioning-post-quantum-cryptography [viii] https://cyber.gouv.fr/la-directive-nis
- page 3081
Page mise à jour le