Le chiffrement post-quantique de Surfshark est sorti cassé. Voici ce qui s'est passé.

Surfshark a intégré le chiffrement post-quantique sur WireGuard en 2026. Ça a planté sur les connexions PPPoE presque aussitôt. Puis ils ont patché. Voici ce qui s’est réellement passé, et ce que cet épisode nous dit sur l’état actuel du chiffrement post-quantique dans les VPN.

Ce que Surfshark a vraiment construit

L’implémentation repose sur un échange de clés hybride : Curve25519 (l’algorithme WireGuard standard) combiné avec ML-KEM, l’algorithme à réseau de vecteurs approuvé par le NIST, anciennement connu sous le nom de Kyber. La poignée de main se déroule en deux étapes. Curve25519 passe en premier. ML-KEM suit par-dessus.

La logique hybride est solide. Si un algorithme est un jour cassé par un ordinateur quantique, l’autre tient toujours. On ne mise pas tout sur une seule primitive cryptographique. Le NIST a approuvé ML-KEM en 2024 après des années d’évaluation, donc ce n’est pas un algorithme expérimental sorti de nulle part. C’est la norme actuelle pour l’encapsulation de clés post-quantiques.

Surfshark annonce un résultat 5,8 % plus rapide que WireGuard standard, ce qui est une vraie surprise vu la surcharge que les algorithmes post-quantiques introduisent habituellement. Les tailles de clés dans ML-KEM sont bien plus grandes que dans Curve25519, donc dégager un gain de vitesse malgré le travail cryptographique supplémentaire n’a rien de trivial. La fonctionnalité est sortie activée par défaut sur Mac, Linux et Android. iOS et Windows arrivent.

Le bug qui a cassé les connexions fibre résidentielle

PPPoE (Point-to-Point Protocol over Ethernet) est le mode de connexion utilisé par une grande partie des abonnés fibre résidentielle, surtout en Europe et en Asie. Très répandu en Allemagne, France, Pays-Bas, Japon et dans de nombreux autres marchés. Pas un protocole de niche. Pas un cas limite hérité.

Quand la poignée de main post-quantique de Surfshark passait par PPPoE, les utilisateurs ne pouvaient charger que de petites pages HTTP non chiffrées. Tout ce qui était plus grand échouait. Les sites HTTPS expiraient. La navigation réelle était quasiment impossible.

TechRadar a enquêté, collecté des données techniques et les a transmises directement à Surfshark. La cause profonde était la taille des paquets. ML-KEM produit des messages d’échange de clés bien plus volumineux que Curve25519. PPPoE a un MTU (Maximum Transmission Unit) plus bas que l’Ethernet standard, ce qui signifie qu’il tolère des paquets plus petits avant de devoir les fragmenter ou les abandonner. Les paquets de la poignée de main PQE de Surfshark étaient tout simplement trop grands pour PPPoE. La logique de fragmentation a soit échoué, soit n’a jamais été prise en compte, et la connexion s’établissait partiellement avant de bloquer.

Surfshark a publié le correctif dans la version 4.27.1. Le patch gérait correctement la taille des paquets dans les environnements PPPoE.

C’est une réponse raisonnablement rapide une fois le problème documenté et remonté. Mais ça aurait dû être détecté avant le lancement. PPPoE est utilisé par des dizaines de millions d’abonnés internet résidentiels. Le tester est un QA basique pour une fonctionnalité qui sort activée par défaut.

Pourquoi “collecter maintenant, déchiffrer plus tard” n’est pas théorique

Certains considèrent le chiffrement post-quantique prématuré. La menace semble lointaine : les ordinateurs quantiques assez puissants pour casser le chiffrement actuel n’existent pas encore. Alors pourquoi se presser ?

Ce raisonnement se trompe de calendrier.

Le modèle de menace réel fonctionne ainsi. Les adversaires étatiques collectent et stockent le trafic internet chiffré aujourd’hui. Les programmes de collecte massive ciblant les infrastructures internet sont bien documentés ; ce n’est pas de la spéculation. Les données collectées restent en stock. Quand un ordinateur quantique cryptographiquement pertinent existera, ils feront tourner le déchiffrement sur le trafic archivé de manière rétroactive. Les tunnels VPN chiffrés en 2026 pourraient être lisibles en 2032 ou 2036.

La fenêtre d’exposition est déjà ouverte. Elle s’est ouverte il y a des années.

Si des communications sensibles, des données financières, des secrets d’entreprise ou quoi que ce soit d’autre qui vaut la peine d’être protégé a transité par un tunnel VPN ces dernières années, ces données sont potentiellement dans la base de données de quelqu’un en attente que le matériel rattrape son retard. Le calendrier pour que les ordinateurs quantiques soient capables de casser RSA-2048 ou la cryptographie standard à courbes elliptiques ne cesse de se raccourcir. Les estimations varient, mais des chercheurs crédibles ne parlent plus de “dans des décennies”.

C’est précisément pour cette raison que le NIST a passé huit ans à mener un processus de standardisation de la cryptographie post-quantique avant de se décider pour ML-KEM et les algorithmes associés. La communauté cryptographique comprenait le risque de collecte-maintenant bien avant le grand public.

C’est aussi pour cela que Mullvad a commencé à intégrer l’échange de clés post-quantique dès 2023. Ils ont été méthodiques, le déployant de manière incrémentale sur leur infrastructure, sans casser la connexion de personne. Ce contraste avec le lancement de Surfshark mérite qu’on s’y attarde.

Qui a la PQE maintenant (juin 2026)

VPN avec chiffrement post-quantique actif :

• Mullvad (depuis 2023, déploiement progressif soigneux)
• Windscribe
• NordVPN
• ExpressVPN
• PureVPN
• Surfshark (version 4.27.1, bug PPPoE corrigé)

VPN qui ne l’ont pas encore :

• ProtonVPN
• PIA (Private Internet Access)
• CyberGhost
• IPVanish

L’absence de ProtonVPN de la première liste est notable vu la solidité de sa réputation en matière de confidentialité. Certains des absents ont la PQE sur leur feuille de route. Aucun ne l’a déployée à l’heure où ces lignes sont écrites.

NordVPN a le chiffrement post-quantique actif et a généralement géré les déploiements de fonctionnalités de sécurité sans le type de casse au lancement que Surfshark a connu. Ça vaut la peine d’y penser si la PQE compte dans votre décision.

Ce que le lancement raté de Surfshark révèle vraiment

La lecture honnête : le lancement a été précipité.

Un protocole de connexion utilisé par des dizaines de millions d’abonnés résidentiels a planté le jour J. Il a fallu une enquête externe de TechRadar pour que le détail technique émerge publiquement. Ce n’est pas une broutille. Surfshark ne l’a pas détecté en interne, et les utilisateurs sur connexions PPPoE se sont retrouvés avec un VPN fonctionnellement cassé sur une fonctionnalité activée par défaut.

Ils ont corrigé rapidement une fois le problème documenté et remonté, et ça compte pour quelque chose. La réactivité face à la recherche externe vaut mieux que le silence ou le déni. Mais “on l’a corrigé après qu’un journaliste ait enquêté” n’est pas la même chose que “on l’a correctement testé avant de le sortir”.

L’approche de Mullvad était différente sur presque tous les points. Ils n’ont pas annoncé la PQE avec un communiqué de presse alors qu’elle était encore cassée. Ils l’ont construite, testée sur de vrais types de connexions, et déployée discrètement. Les utilisateurs l’ont trouvée. Ça marchait. C’est l’histoire moins excitante, ce qui est précisément le point.

La cryptographie sous-jacente de l’implémentation de Surfshark n’est pas en cause. ML-KEM superposé à Curve25519 est la bonne architecture. Le problème PPPoE était un bug de gestion de protocole, pas une faille dans le chiffrement lui-même. Vos données n’étaient pas plus exposées à cause de ce bug ; votre connexion ne fonctionnait tout simplement pas. Ce sont deux problèmes différents, et la distinction compte.

Cela dit, pour une fonctionnalité vendue comme protection contre les menaces quantiques futures, ne pas la tester sur un type de connexion résidentielle courant est un manquement difficile à excuser.

La PQE change-t-elle votre choix de VPN en 2026 ?

Ça dépend de ce que vous utilisez réellement un VPN pour.

Si votre modèle de menace inclut le journalisme, le travail juridique, les communications d’entreprise, les données financières ou l’activisme dans un pays avec une infrastructure de surveillance active, le chiffrement post-quantique compte maintenant. Pas dans cinq ans. Pas quand les ordinateurs quantiques feront la une. Le trafic que vous envoyez aujourd’hui est celui qui sera déchiffré rétroactivement plus tard.

La fenêtre de collecte-maintenant est déjà ouverte. Quiconque envoie des données sensibles via un VPN sans PQE parie essentiellement que son adversaire ne collecte pas le trafic, ou que le déchiffrement quantique n’arrivera jamais. Les deux paris méritent d’être reconsidérés.

Si vous utilisez principalement un VPN pour le streaming ou la confidentialité décontractée sur le Wi-Fi public, la PQE n’est pas votre priorité immédiate. C’est juste. Mais quand la fonctionnalité ne coûte rien et que le VPN l’a de toute façon, il n’y a aucune raison de ne pas l’utiliser.

Les fournisseurs qui ont implémenté la PQE soigneusement et tôt vous disent aussi quelque chose sur leur culture de sécurité. Ce signal vaut la peine d’être pris en compte quand vous comparez des services par ailleurs similaires.

NordVPN a la PQE active sur toute son infrastructure. Si c’est important pour votre usage, c’est une option directe qui ne vous oblige pas à faire confiance à une implémentation précipitée.

À lire aussi : Avis Surfshark 2026 : le meilleur rapport qualité-prix ou juste du marketing ? et Surfshark conserve-t-il des logs ? Leur politique no-log expliquée (2026).

Sources : TechRadar, Tom’s Guide, Blog officiel Surfshark.

Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.