En pleine réflexion sur la sécurité liée à l’informatique quantique, l’université du Colorado à Boulder a créé Curby. Il s’agit d’un système quantique produisant des nombres aléatoires vérifiables et infalsifiables.
Le monde du quantique est en pleine effervescence. Start-ups et universités rivalisent d’annonces sur ce thème en adressant différentes thématiques (création de qubit logique, réduction des erreurs,…). La sécurité est également un terrain de jeux notamment autour de la génération de nombres aléatoires, un procédé essentiel pour le chiffrement des données. Une récente découverte par une équipe de l’université du Colorado à Boulder, dirigée par Gautam A. Kavuri, répond à une problématique persistante : comment générer un nombre aléatoire inviolable ?
Elle a développé Curby (Colorado University Randomness Beacon), un système quantique produisant des nombres aléatoires vérifiables et infalsifiables. Les travaux ont été publiés dans la revue Nature et détaillée dans une prépublication arXiv. Concrètement, Curby exploite le phénomène d’intrication quantique où les particules maintiennent des états interconnectés quelle que soit la distance, pour créer des résultats fondamentalement imprévisibles. Techniquement, Curby tire son entropie de mesures de photons intriqués dont les états mystérieusement liés constituent une source d’imprévisibilité fondée sur la physique.
Un système qui séduit les experts
Chaque mesure est enregistrée dans une chaîne de hachage cryptographique utilisant le protocole Twine de l’équipe, créant ainsi une trace auditable et inviolable. Toute tentative de modification des sorties passées briserait l’intégrité de la chaîne, révélant immédiatement la falsification, indique la publication. « Nous avons construit un système accessible à tous pour générer et vérifier l’aléatoire, sans obstacle majeur à une mise à l’échelle mondiale », a déclaré Gautam A. Kavuri lors d’un échange avec CSOonline. A cette occasion, il a expliqué que l’architecture distribuée de Curby, soutenue par des outils open source basés sur Docker comme le package « beacon-in-a-box », facilite l’adoption par les entreprises.
Les experts semblent séduits par cette initiative comme le montre Narayan Gokhale, vice-président du groupe QKS. « D’un point de vue sécuritaire, cette approche offre un atout précieux : la possibilité de vérifier indépendamment que les nombres aléatoires n’ont pas été compromis », affirme-t-il. Tout en saluant, « le transfert de la confiance des hypothèses logicielles opaques vers des principes physiques vérifiables ». Autre avantage pour le spécialiste, l’architecture distribuée et vérifiable introduit « un niveau de confiance essentiel pour des secteurs avec des infrastructures critiques à l’ère des cybermenaces accrues ».
Des cas d’usage multiples
Le système Curby est conçu pour les applications où le caractère aléatoire vérifiable est essentiel, notamment les protocoles de chiffrement ou les loteries numériques et les audits publics. Il peut intéresser des secteurs comme la finance, les infrastructures et le gouvernement, où le caractère aléatoire vérifiable revêt une importance opérationnelle et réglementaire.
L’architecture distribuée du service est un autre atout, qui ouvre la voie à des formes d’infrastructures de confiance décentralisées. Narayan Gokhale suggère que « le modèle de balises Curby préfigure un avenir où les systèmes décentralisés s’appuieront sur l’aléatoire quantiquement vérifiable comme point de confiance partagée, allant au-delà de l’infrastructure à clés publiques (PKI) traditionnelle ou du consensus blockchain vers une couche de confiance davantage ancrée dans la physique ».
Le site de partage de code open source a dévoilé son serveur MCP en preview publique. Cette offre donne la capacité aux développeurs d’intégrer des assistants d’IA à leurs workflows sans configurer des serveurs locaux.
Le protocole MCP, promu par Anthropic, est en train de devenir un standard et son adoption progresse vite. Preuve en est, la récente annonce de GitHub qui a présenté son serveur Remote MCP en avant-première publique. Pour les développeurs, cet outil est capable d’ajouter des assistants d’IA comme Copilot à leurs applications sans leurs serveurs locaux. D’un simple clic dans Visual Studio Code ou via une URL sur des hôtes compatibles MCP, les programmeurs peuvent accéder aux données GitHub en temps réel, notamment aux tickets, aux pull requests et au code, a indiqué le spécialiste du partage de code dans un article de blog.
Faciliter l’interopérabilité
Contrairement à son homologue local, le serveur distant est hébergé par GitHub, mais conserve la même base de code. Elle prend en charge l’authentification sécurisée OAuth 2.0 avec des token d’accès personnels comme solution de secours, facilitant ainsi l’adoption tout en préservant le contrôle. « Cette évolution offre aux entreprises une flexibilité back-end tout en préservant l’interface utilisateur familière de Codespaces », a déclaré Nikhilesh Naik, directeur associé chez QKS Group. « Elle dissocie le plan de contrôle d’orchestration de l’infrastructure de GitHub, une étape clé pour les configurations de développement hybrides. »
De son côté, Keith Guttridge, vice-président analyste chez Gartner, considère MCP comme « une norme émergente, mais cruciale pour l’interopérabilité des outils d’IA ». Bien qu’actuellement axé sur l’expérience des développeurs, il souligne que le MCP évolue rapidement, avec des fonctionnalités professionnelles, telles que la prise en charge des registres et une gouvernance améliorée prévues dans la feuille de route. La croissance du protocole reflète les demandes plus larges du secteur, constate Dhiraj Pramod Badgujar, directeur de recherche senior chez IDC Asie/Pacifique. « L’exécution à distance auto-hébergée s’inscrit dans les tendances DevOps hybrides, alliant rapidité et sécurité, en particulier pour les workflows axés sur la conformité », glisse-t-il.
Workflows hybrides et flexibilité d’entreprise
« L’externalisation du serveur Remote MCP par GitHub est une réponse techniquement délibérée aux exigences des entreprises en matière d’infrastructure de développement hybride », explique Nikhilesh Naik. Il ajoute que « les workflows de développement doivent s’aligner sur les limites du réseau interne, les contraintes de conformité et les politiques d’infrastructure.» Le serveur donne aux entreprises la possibilité d’exécuter des conteneurs de développement sur des clusters Kubernetes ou des machines virtuelles autogérées, s’intégrant parfaitement aux DNS internes, à la gestion des secrets et aux pipelines CI/CD, positionnant GitHub comme une couche modulaire pour les plateformes de développement internes.
Pour les secteurs manipulant de la propriété intellectuelle sensible, le serveur s’aligne sur le cadre réglementaire existant de GitHub. Keith Guttridge observe qu’il « simplifie le processus d’activation des outils d’IA avec les services GitHub », sans modifier les protections des secteurs réglementés. Quant à Dhiraj Pramod Badgujar, il constate que les entreprises privilégient le contrôle interne pour renforcer la sécurité et maîtriser les coûts du cloud. « Cela soutient DevSecOps en standardisant les environnements et en alignant DevSecOps sur les politiques de gouvernance », indique-t-il. Le serveur nécessite actuellement la politique d’aperçu de l’éditeur pour Copilot dans VS Code et Visual Studio. Il ne prend pas en charge les IDE JetBrains, Xcode et Eclipse, qui dépendent encore de serveurs MCP locaux.
Avantage de l’écosystème GitHub
Par rapport à ses concurrents, le serveur Remote MCP de GitHub exploite les atouts de son écosystème. Nikhilesh Naik a expliqué qu’il partage les capacités d’auto-hébergement de Coder, mais s’intègre plus étroitement aux référentiels et aux conteneurs Codespaces pour des environnements cohérents, tandis que Gitpod offre une plus grande flexibilité, quelle que soit la plateforme. L’auto-hébergement du serveur MCP distant réduit l’exposition aux systèmes externes, mais accroît les responsabilités internes. Selon l’analyste, « bien que l’exploitation d’environnements de développement internes réduise les risques externes », elle transfère une grande partie des responsabilités aux équipes internes. En effet, des autorisations mal configurées ou une isolation insuffisante des conteneurs pourraient les rendre vulnérables. Il est donc nécessaire d’installer un sandboxing robuste, des pistes d’audit et une intégration sécurisée avec des outils tels que les référentiels d’artefacts et le stockage de secrets.
Dhiraj Pramod juge que GitHub équilibre l’exécution et l’uniformité entre les actions et les codespaces, contrairement à l’approche DevSecOps full-stack de GitLab ou à la priorité donnée au cloud d’Atlassian. Enfin, Keith Guttridge avertit que MCP, bien que prometteur, est encore en phase de maturation. « Il doit évoluer vers une norme plus adaptée aux entreprises en matière de registre, de découverte et de gouvernance ».