Depuis l’été 2024, la cryptographie post-quantique n’est plus un sujet de laboratoire. Le NIST a publié les normes finales, les navigateurs les déploient, et l’ANSSI presse les organisations françaises de planifier leur migration avant 2030. Au cœur de cette transition, deux noms reviennent sans cesse : Kyber et Dilithium. On les oppose souvent comme s’il s’agissait de concurrents. C’est une erreur. Ce comparatif détaillé, mis à jour le 17 juin 2026, explique ce qui sépare ces deux algorithmes, ce qui les rapproche, et lequel choisir selon votre cas d’usage.
La réponse courte : Kyber chiffre, Dilithium signe. Ils ne résolvent pas le même problème. La plupart des architectures sérieuses, du chiffrement de votre prochain handshake TLS à la signature de firmware embarqué, utilisent les deux à la fois. La vraie question n’est donc pas « Kyber ou Dilithium », mais « comment les combiner correctement ». Voici les chiffres, les benchmarks et les retours d’experts pour décider.
Kyber vs Dilithium : le tableau comparatif complet
Avant d’entrer dans le détail, voici la comparaison côte à côte des deux algorithmes. Les noms entre parenthèses (ML-KEM et ML-DSA) sont les appellations officielles données par le NIST après standardisation. Les tailles sont exprimées en octets, telles que publiées dans les normes FIPS 203 et FIPS 204.
| Critère | Kyber (ML-KEM) | Dilithium (ML-DSA) |
|---|---|---|
| Type de primitive | Encapsulation de clé (KEM) | Signature numérique |
| Problème mathématique | Module-LWE (réseaux euclidiens) | Module-LWE + Module-SIS |
| Norme NIST | FIPS 203 (août 2024) | FIPS 204 (août 2024) |
| Famille | CRYSTALS | CRYSTALS |
| Rôle principal | Établir une clé de session secrète | Authentifier un message ou un certificat |
| Niveaux NIST proposés | 1, 3, 5 | 2, 3, 5 |
| Clé publique (niveau 3) | 1 184 octets | 1 952 octets |
| Livrable (niveau 3) | Chiffré : 1 088 octets | Signature : 3 309 octets |
| Comparaison classique | Remplace ECDH / X25519 | Remplace ECDSA / RSA |
| Opération la plus rapide | Encapsulation | Vérification |
| Surcoût vs équivalent classique | ~1 à 2 % de latence en TLS hybride | Signature ~50x plus lourde qu’ECDSA |
| Licence | Domaine public, sans redevance | Domaine public, sans redevance |
| Déploiement réel 2025-2026 | Chrome, Cloudflare, Signal, iMessage | Firmware, PKI, certificats X.509 |
Première leçon de ce tableau : les deux algorithmes partagent une base mathématique commune, les réseaux euclidiens (lattices), mais ils visent des objectifs opposés. Kyber transporte un secret, Dilithium prouve une identité. Garder cette distinction en tête évite 90 % des confusions sur la cryptographie post-quantique.
Qu’est-ce que Kyber (ML-KEM) et à quoi sert-il ?
Kyber est un mécanisme d’encapsulation de clé, ou KEM. Son travail tient en une phrase : permettre à deux parties qui ne se connaissent pas d’établir un secret partagé sur un canal public, sans qu’un espion puisse le reconstruire, même équipé d’un ordinateur quantique. C’est exactement le rôle que jouent aujourd’hui Diffie-Hellman sur courbes elliptiques (ECDH) et X25519 dans chaque connexion HTTPS.
Le NIST a retenu Kyber comme unique KEM de sa première vague de standardisation, puis l’a rebaptisé ML-KEM dans la norme FIPS 203 publiée en août 2024. Le « ML » signifie Module-Lattice, en référence au problème Module-LWE (Learning With Errors) sur lequel repose sa sécurité. Ce problème consiste à retrouver un secret noyé dans un système d’équations linéaires bruitées : facile à poser, calculatoirement infaisable à inverser, y compris pour l’algorithme de Shor qui casse RSA et ECC.
Comment fonctionne l’encapsulation Kyber
Le mécanisme se déroule en trois temps. Le destinataire génère une paire de clés et publie sa clé publique. L’émetteur appelle la fonction d’encapsulation : elle produit un chiffré (ciphertext) et un secret partagé. Il envoie le chiffré. Le destinataire le déchiffre avec sa clé privée et retrouve le même secret partagé. Ce secret sert ensuite de clé symétrique pour AES-256, par exemple. Aucun des deux n’a jamais transmis la clé symétrique en clair.
// Pseudo-code de l'échange Kyber (ML-KEM-768)
(pk, sk) = ML-KEM.KeyGen() // côté serveur
(ct, secret_A) = ML-KEM.Encaps(pk) // côté client
secret_B = ML-KEM.Decaps(ct, sk) // côté serveur
assert(secret_A == secret_B) // 32 octets partagésLes cas d’usage typiques de Kyber
Kyber brille partout où il faut négocier une clé : poignées de main TLS 1.3, VPN, messageries chiffrées, tunnels IPsec, objets connectés à bande passante limitée. Sa légèreté (un chiffré de 1 088 octets au niveau 3) le rend déployable même sur des microcontrôleurs. C’est pour cette raison que Signal, Apple iMessage et Google Chrome l’ont adopté dès 2024 pour protéger leurs échanges contre les attaques dites « harvest now, decrypt later » : capturer le trafic chiffré aujourd’hui pour le casser une fois l’ordinateur quantique disponible. Pour comprendre la mécanique d’échange de clés classique que Kyber vient compléter, notre guide sur OpenSSL, clés et certificats pose les bases.
Qu’est-ce que Dilithium (ML-DSA) et à quoi sert-il ?
Dilithium répond à un besoin différent : prouver qu’un message provient bien de son auteur et qu’il n’a pas été altéré. C’est le rôle d’une signature numérique. Là où Kyber remplace ECDH, Dilithium remplace ECDSA et RSA. Le NIST l’a standardisé sous le nom ML-DSA dans la norme FIPS 204, publiée le même jour que FIPS 203 en août 2024. Il en a fait son algorithme de signature post-quantique par défaut, celui à privilégier dans la grande majorité des déploiements.
Comme Kyber, Dilithium repose sur les réseaux euclidiens, mais il combine deux problèmes difficiles : Module-LWE et Module-SIS (Short Integer Solution). Cette double assise lui donne une marge de sécurité confortable. Un détail contre-intuitif mérite attention : chez Dilithium, la vérification est plus rapide que la signature, l’inverse exact de RSA. Pour les systèmes qui vérifient des millions de signatures par seconde (chaînes de blocs, mises à jour logicielles massives), c’est un atout décisif.
Comment fonctionne une signature Dilithium
Le schéma suit le paradigme Fiat-Shamir avec abandon (rejection sampling). Le signataire génère un engagement aléatoire, calcule un défi à partir du message, puis produit une réponse. Si la réponse fuit trop d’information sur la clé secrète, l’algorithme la rejette et recommence. Ce mécanisme d’abandon explique pourquoi la signature est légèrement plus lente que la vérification, et pourquoi le temps de signature varie d’une exécution à l’autre.
Les trois variantes de Dilithium
Dilithium se décline en trois jeux de paramètres : ML-DSA-44 (niveau NIST 2), ML-DSA-65 (niveau 3) et ML-DSA-87 (niveau 5). Plus le niveau monte, plus la signature grossit : 2 420 octets pour ML-DSA-44, 4 627 octets pour ML-DSA-87. À titre de comparaison, une signature ECDSA tient en 64 octets. Cette inflation est le vrai prix de la résistance quantique. Les signatures numériques classiques et leur lien avec les fonctions de hachage sont détaillés dans notre article sur les signatures numériques.
Kyber vs Dilithium : pourquoi ils ne font pas le même travail
C’est le point que les comparatifs grand public ratent le plus souvent. Opposer Kyber et Dilithium revient à opposer une serrure et une signature manuscrite : les deux sécurisent, mais pas le même maillon. Kyber garantit la confidentialité en établissant une clé secrète. Dilithium garantit l’authenticité et l’intégrité en prouvant l’origine d’un message.
Prenons une connexion HTTPS vers une banque française. Le serveur présente un certificat. Ce certificat doit être signé par une autorité : c’est le rôle de Dilithium. Une fois l’identité du serveur établie, client et serveur négocient une clé de session pour chiffrer les données : c’est le rôle de Kyber. Retirez l’un, et l’attaque devient possible. Sans Kyber, un espion enregistre tout pour déchiffrer plus tard. Sans Dilithium, un attaquant se fait passer pour la banque. Les deux sont nécessaires, et c’est précisément pour cela que les piles cryptographiques post-quantiques les embarquent ensemble.
Cette complémentarité se retrouve dans la stratégie de la NSA. Son référentiel CNSA 2.0 remplace explicitement ECDH et RSA par ML-KEM pour l’établissement de clés, et ECDSA/RSA par ML-DSA pour les signatures. Même logique côté ANSSI, qui recommande l’hybridation : associer un algorithme classique éprouvé et un algorithme post-quantique, afin qu’une faille théorique dans l’un ne compromette pas l’ensemble. La question « Kyber ou Dilithium » n’a donc pas de sens dans une architecture complète. La vraie décision porte sur les niveaux de sécurité et le mode hybride.
Performances et benchmarks : Kyber vs Dilithium
Les deux algorithmes ont été conçus pour la vitesse. Contrairement à une idée reçue, la cryptographie sur réseaux euclidiens n’est pas lente : elle s’appuie sur des multiplications de polynômes et du hachage, des opérations que les processeurs modernes exécutent très vite, souvent accélérées par les instructions vectorielles SIMD (AVX2). Dans bien des cas, Kyber égale ou dépasse ECDH (X25519) parce qu’il évite les coûteuses opérations sur grands entiers.
Le tableau ci-dessous agrège des ordres de grandeur issus de trois sources : les mesures de référence de l’équipe CRYSTALS (pq-crystals.org), un benchmark sur réseau de test relayé par la communauté, et l’étude comparative publiée sur arXiv en 2025. Les valeurs dépendent fortement du matériel ; prenez-les comme des ordres de grandeur, pas comme des constantes universelles.
| Opération | Kyber (ML-KEM-768) | Dilithium (ML-DSA-65) | Référence classique |
|---|---|---|---|
| Génération de clé | ~30 à 60 µs | ~0,7 ms | ~50 µs (X25519) |
| Encapsulation / Signature | ~40 à 70 µs | ~0,7 ms (variable) | ~60 µs (signature ECDSA) |
| Décapsulation / Vérification | ~30 à 60 µs | ~0,12 ms | ~150 µs (vérif. ECDSA) |
| Débit signatures (1 cœur) | Sans objet (KEM) | Plusieurs milliers/s | Comparable (RSA/ECC) |
| Surcoût latence TLS hybride | ~1 à 2 % | Dépend de la chaîne de certificats | Référence 0 % |
| Accélération SIMD | Oui (AVX2) | Oui (AVX2) | Partielle |
Trois enseignements ressortent. D’abord, Kyber opère à l’échelle de la dizaine de microsecondes : son impact sur un handshake TLS est imperceptible, de l’ordre de 1 à 2 % de latence supplémentaire selon les mesures de Cloudflare. Ensuite, Dilithium est plus lourd mais reste largement suffisant pour un serveur : plusieurs milliers de signatures par seconde sur un seul cœur. Enfin, la vérification Dilithium (~0,12 ms) est environ six fois plus rapide que la signature, ce qui en fait un excellent choix pour les usages où l’on signe peu mais vérifie énormément, comme la distribution de mises à jour logicielles.
Tailles de clés et de signatures : le vrai coût de la transition
Si la vitesse n’est pas un problème, la taille en est un. C’est le talon d’Achille de la cryptographie post-quantique, et c’est là que Kyber et Dilithium divergent le plus. Le tableau suivant reprend les tailles officielles des normes FIPS 203 et FIPS 204, par niveau de sécurité, comparées à leurs équivalents classiques.
| Algorithme / Variante | Niveau NIST | Clé publique | Chiffré ou signature |
|---|---|---|---|
| Kyber ML-KEM-512 | 1 | 800 octets | 768 octets (chiffré) |
| Kyber ML-KEM-768 | 3 | 1 184 octets | 1 088 octets (chiffré) |
| Kyber ML-KEM-1024 | 5 | 1 568 octets | 1 568 octets (chiffré) |
| Dilithium ML-DSA-44 | 2 | 1 312 octets | 2 420 octets (signature) |
| Dilithium ML-DSA-65 | 3 | 1 952 octets | 3 309 octets (signature) |
| Dilithium ML-DSA-87 | 5 | 2 592 octets | 4 627 octets (signature) |
| X25519 (classique) | ~128 bits | 32 octets | 32 octets (clé publique) |
| ECDSA P-256 (classique) | ~128 bits | 64 octets | 64 octets (signature) |
| RSA-3072 (classique) | ~128 bits | 384 octets | 384 octets (signature) |
Le contraste est saisissant. Un chiffré Kyber au niveau 3 pèse 1 088 octets contre 32 pour une clé X25519, soit un facteur 34. Une signature Dilithium niveau 3 atteint 3 309 octets contre 64 pour ECDSA, un facteur supérieur à 50. Ces kilo-octets supplémentaires se paient à chaque connexion, chaque certificat, chaque mise à jour. Pour un serveur web qui établit des millions de sessions par jour, l’addition se chiffre en téraoctets de bande passante annuelle.
Conséquence pratique : Kyber, plus compact, s’impose dans les environnements contraints (IoT, mobile, IPsec). Dilithium, plus lourd, pose surtout problème dans les chaînes de certificats X.509, où chaque certificat intermédiaire ajoute sa propre signature. C’est l’un des grands chantiers de 2026 : adapter les formats de certificats et les protocoles TLS pour absorber ces signatures volumineuses sans fragmenter les paquets.
Sécurité : niveaux NIST 1, 3 et 5 décryptés
Kyber et Dilithium offrent plusieurs niveaux de sécurité, alignés sur une échelle NIST de 1 à 5. Le niveau 1 équivaut à la résistance d’AES-128 face à une recherche exhaustive, le niveau 3 à AES-192, le niveau 5 à AES-256. Ces niveaux intègrent déjà la menace quantique : ils mesurent la difficulté de casser l’algorithme avec les meilleures attaques connues, classiques et quantiques confondues.
Pour Kyber, l’analyse de référence attribue à ML-KEM-512 environ 118 bits de sécurité sur la partie clé publique et 112 bits sur le chiffré, au-dessus de la cible de 128 bits une fois certaines subtilités d’attaque prises en compte. ML-KEM-768 (niveau 3) constitue le choix recommandé par défaut pour la plupart des usages, équilibrant marge de sécurité et taille. ML-KEM-1024 vise les données ultra-sensibles à très longue durée de conservation.
Pour Dilithium, ML-DSA-87 au niveau 5 garantit au moins 256 bits de sécurité quantique, avec une signature de 4 627 octets et une clé publique de 2 592 octets, le tout restant plus compact qu’une signature RSA-15360 équivalente. Point rassurant souligné par le NIST : après plusieurs années d’analyse continue par la communauté, aucune attaque efficace n’a été trouvée contre les paramètres retenus. La marge de sécurité reste large. Reste la prudence d’usage : l’ANSSI et la plupart des agences européennes recommandent l’hybridation classique plus post-quantique tant que le recul opérationnel sur ces schémas est inférieur à une décennie. Les principes de robustesse cryptographique sont rappelés dans notre dossier cryptographie et hachage.
Tarifs et coûts de déploiement : Kyber vs Dilithium
Bonne nouvelle d’abord : ni Kyber ni Dilithium ne coûtent un centime en licence. Les deux sont dans le domaine public, sans redevance, ce qui faisait partie des critères du NIST. Le coût réel d’une migration se situe ailleurs : bibliothèques, modules matériels de sécurité (HSM), services de gestion de clés dans le cloud, et surtout temps d’ingénierie. Le tableau ci-dessous donne des repères de prix publics constatés en 2025-2026.
| Brique de déploiement | Solution | Coût indicatif 2026 |
|---|---|---|
| Algorithmes (licence) | Kyber et Dilithium | Gratuit, domaine public |
| Bibliothèque open source | liboqs (Open Quantum Safe) | Gratuit (MIT) |
| Pile TLS native | OpenSSL 3.5+ | Gratuit (Apache 2.0) |
| Gestion de clés cloud | AWS KMS (clés hybrides) | ~1 $/clé/mois + appels API |
| HSM cloud compatible PQC | Location mensuelle | ~1 000 à 1 500 $/mois |
| HSM physique compatible PQC | Appliance dédiée | Plusieurs milliers d’euros à l’achat |
| Certificats PQC | Autorités de certification | Phase pilote, souvent gratuit en 2026 |
| Audit et intégration | Prestation de migration | Variable selon le périmètre SI |
Le poste le plus sous-estimé reste l’inventaire cryptographique. Avant de déployer Kyber ou Dilithium, une organisation doit cartographier où elle utilise RSA, ECDH et ECDSA : applications, protocoles, certificats, bibliothèques tierces. Cet exercice, baptisé « cryptographic bill of materials » (CBOM), occupe souvent plusieurs mois-personnes. C’est lui, et non le prix des algorithmes, qui détermine le budget réel de la transition post-quantique.
5 exemples concrets de déploiement en 2025-2026
La théorie suffit rarement à convaincre. Voici cinq déploiements réels où Kyber, Dilithium ou les deux sont déjà en production, ou en cours de généralisation, en 2025-2026.
- Apple iMessage (PQ3) : depuis iOS 17.4, le protocole PQ3 d’Apple intègre Kyber pour l’établissement de clés, en mode hybride avec la cryptographie classique. Objectif affiché : résister aux attaques « capter maintenant, déchiffrer plus tard » sur les milliards de messages échangés.
- Signal (PQXDH) : la messagerie chiffrée a déployé PQXDH, une extension de son protocole d’échange de clés qui ajoute Kyber par-dessus la courbe X25519. Tout nouvel échange bénéficie ainsi d’une protection post-quantique sans casser la compatibilité.
- Google Chrome et Cloudflare : depuis 2024, Chrome négocie par défaut le mécanisme hybride X25519MLKEM768 (X25519 plus Kyber niveau 3) avec les serveurs compatibles. Cloudflare Radar indiquait début 2026 qu’une part importante et croissante du trafic HTTPS utilisait déjà cet échange de clés post-quantique.
- OpenSSL 3.5 : sortie en avril 2025, cette version majeure embarque nativement ML-KEM, ML-DSA et SLH-DSA. Les administrateurs peuvent activer Kyber et Dilithium sans recompiler de modules externes, ce qui accélère l’adoption côté serveur.
- SEALSQ et l’embarqué : lors des Quantum Days 2025, le fabricant de puces sécurisées SEALSQ a démontré Kyber pour l’échange de clés et Dilithium pour l’intégrité des messages, avec détection d’altération, sur des composants matériels destinés à l’IoT et aux infrastructures critiques.
Le fil rouge est limpide : Kyber domine côté échange de clés (messageries, navigateurs, IoT), Dilithium s’installe côté authenticité (firmware, PKI, intégrité). Là où les deux cohabitent, comme dans les démonstrations SEALSQ, on obtient une chaîne complète résistante au quantique. Pour situer ces enjeux dans le paysage global des menaces, le panorama de la cybermenace de l’ANSSI donne le contexte français.
Avis d’experts sur Kyber et Dilithium
Peter Schwabe, co-auteur de CRYSTALS-Kyber et CRYSTALS-Dilithium, insiste régulièrement sur un point : la sécurité des deux schémas se réduit, dans le modèle de l’oracle aléatoire, à des problèmes de réseaux euclidiens étudiés depuis des décennies. C’est cette maturité théorique, plus que la performance brute, qui a guidé le choix du NIST.
Côté déploiement, Bas Westerbaan, ingénieur cryptographie chez Cloudflare, a documenté le passage à l’échelle de Kyber sur le web. Son constat : le surcoût d’un handshake hybride X25519 plus Kyber est négligeable pour l’utilisateur, de l’ordre de quelques pour cent de latence, et le vrai défi est ailleurs, dans les signatures volumineuses de Dilithium qui alourdissent les chaînes de certificats.
Côté vulgarisation, des chaînes techniques comme Fireship ont popularisé la distinction fondamentale auprès des développeurs : Kyber sert à « se mettre d’accord sur un secret », Dilithium à « prouver qui parle ». Ce raccourci, repris par de nombreux créateurs dont ThePrimeagen dans ses discussions sur la sécurité applicative, coupe court à la fausse rivalité entre les deux algorithmes. Du côté institutionnel français, l’ANSSI maintient une position prudente : adoption oui, mais en hybridation avec les algorithmes classiques, le temps d’accumuler du recul opérationnel. Cette ligne fait aujourd’hui consensus en Europe.
Quel algorithme pour quel cas d’usage ?
Puisque Kyber et Dilithium sont complémentaires, la question pratique devient : quelle variante activer selon le contexte ? Voici cinq recommandations concrètes pour 2026.
- Site web et API grand public : activez TLS hybride X25519MLKEM768 (Kyber niveau 3) pour l’échange de clés. Conservez vos certificats ECDSA classiques pour l’instant et préparez la bascule vers Dilithium ML-DSA-65 quand votre autorité de certification le proposera.
- Messagerie chiffrée ou VPN : Kyber ML-KEM-768 en mode hybride est le standard de fait (Signal, iMessage). Priorité absolue ici, car la menace « harvest now, decrypt later » est immédiate.
- Signature de firmware et mises à jour logicielles : Dilithium ML-DSA-65 ou ML-DSA-87. La vérification rapide et la longévité du firmware (parfois 10 à 15 ans sur le terrain) justifient un niveau de sécurité élevé.
- Objets connectés à ressources limitées : Kyber ML-KEM-512 ou 768 pour la légèreté. Pour les signatures embarquées, évaluez Dilithium ML-DSA-44 si la bande passante est critique, en acceptant un niveau de sécurité 2.
- Données ultra-sensibles à très long terme (santé, défense, juridique) : montez au niveau 5 des deux côtés, ML-KEM-1024 et ML-DSA-87, et systématisez l’hybridation conformément aux recommandations de l’ANSSI.
Règle générale : par défaut, visez le niveau 3 (ML-KEM-768 et ML-DSA-65). Il offre le meilleur compromis sécurité/taille pour l’immense majorité des usages. Ne montez au niveau 5 que pour les données dont la confidentialité doit survivre plusieurs décennies.
Guide de migration vers Kyber et Dilithium
Migrer vers la cryptographie post-quantique n’est pas un interrupteur que l’on bascule. C’est un programme pluriannuel. Voici une feuille de route en cinq étapes, alignée sur les recommandations de l’ANSSI et de la NSA (CNSA 2.0).
Étapes 1 à 3 : inventorier, prioriser, tester
- Inventaire cryptographique (CBOM) : recensez chaque usage de RSA, ECDH, ECDSA dans vos applications, protocoles, certificats et dépendances tierces. Sans cette carte, aucune migration sérieuse n’est possible.
- Priorisation par durée de vie des données : classez vos données selon leur durée de confidentialité requise. Celles qui doivent rester secrètes au-delà de 2035 sont prioritaires, car elles sont déjà exposées au « harvest now, decrypt later ».
- Tests en mode hybride : déployez Kyber et Dilithium en parallèle des algorithmes classiques, pas en remplacement. OpenSSL 3.5 et la bibliothèque liboqs permettent de tester sans réécrire votre code de fond en comble.
Étapes 4 et 5 : déployer et surveiller
- Déploiement progressif : commencez par l’échange de clés (Kyber), moins risqué et déjà éprouvé sur le web, avant d’attaquer la migration des signatures et de la PKI (Dilithium), plus complexe à cause de la taille des certificats.
- Agilité cryptographique : architecturez vos systèmes pour pouvoir changer d’algorithme demain. La crypto-agilité, capacité à remplacer une primitive sans tout reconstruire, est la vraie leçon de cette transition.
# Activer un échange de clés hybride post-quantique avec OpenSSL 3.5+
openssl s_client -connect exemple.fr:443 \
-groups X25519MLKEM768
# Générer une paire de clés Dilithium (ML-DSA-65)
openssl genpkey -algorithm ML-DSA-65 -out cle_dilithium.pemUn dernier conseil : ne réinventez rien. Utilisez les implémentations validées (liboqs, OpenSSL 3.5, bibliothèques de référence pq-crystals) plutôt que d’écrire votre propre Kyber ou Dilithium. La cryptographie maison est la première cause de catastrophes. Pour les bases du chiffrement de fichiers en pratique, voyez notre tutoriel chiffrer fichiers et emails avec GPG.
Avantages et inconvénients : Kyber vs Dilithium
Récapitulons les forces et faiblesses de chaque algorithme, pour une décision rapide.
Kyber : avantages et limites
Avantages : compact (chiffré de 1 088 octets au niveau 3), extrêmement rapide (échelle de la dizaine de microsecondes), surcoût TLS négligeable (1 à 2 %), unique KEM standardisé par le NIST, déjà déployé massivement (Chrome, Signal, iMessage). Sa légèreté le rend idéal pour l’IoT et le mobile.
Inconvénients : chiffré tout de même 34 fois plus lourd qu’une clé X25519, sensibilité aux attaques par canaux auxiliaires si l’implémentation est négligée, et nécessité de l’hybridation pour rassurer les agences. Kyber ne fait qu’établir des clés : il ne signe rien.
Dilithium : avantages et limites
Avantages : algorithme de signature post-quantique par défaut du NIST, double assise mathématique (Module-LWE et Module-SIS), vérification très rapide (environ six fois plus que la signature), débit de plusieurs milliers de signatures par seconde par cœur, marge de sécurité confortable. Excellent pour le firmware et la distribution logicielle.
Inconvénients : signatures volumineuses (2 420 à 4 627 octets selon le niveau, contre 64 pour ECDSA), ce qui alourdit lourdement les chaînes de certificats X.509 et peut fragmenter les paquets réseau. Le temps de signature varie d’une exécution à l’autre à cause du rejection sampling. C’est l’algorithme qui pose le plus de défis d’intégration en 2026.
Verdict : Kyber et Dilithium, alliés plutôt que rivaux
Le verdict de ce comparatif tient en une phrase : la question « Kyber vs Dilithium » est mal posée. Ces deux algorithmes ne se concurrencent pas, ils se complètent. Kyber chiffre, Dilithium signe. Toute architecture post-quantique sérieuse les déploie ensemble, exactement comme on combine aujourd’hui ECDH et ECDSA dans une connexion TLS.
Si vous devez ne retenir que des chiffres : Kyber ML-KEM-768 ajoute 1 à 2 % de latence à un handshake et un chiffré de 1 088 octets, un coût quasi indolore qui explique son adoption massive dès 2024. Dilithium ML-DSA-65 produit des signatures de 3 309 octets, plus de 50 fois la taille d’ECDSA, ce qui en fait le maillon le plus délicat de la transition. Côté priorité, commencez par Kyber : la menace « harvest now, decrypt later » rend l’échange de clés urgent. Dilithium suivra, à mesure que les autorités de certification et les formats de certificats s’adaptent.
Notre recommandation pour 2026 : visez le niveau 3 par défaut (ML-KEM-768 et ML-DSA-65), activez le mode hybride conformément à l’ANSSI, appuyez-vous sur OpenSSL 3.5 et liboqs, et lancez dès maintenant votre inventaire cryptographique. L’ordinateur quantique cryptographiquement pertinent n’existe pas encore, mais les données que vous chiffrez aujourd’hui, elles, doivent survivre à son arrivée. La migration vers Kyber et Dilithium n’est pas une option à long terme, c’est un chantier à démarrer maintenant.
FAQ : Kyber vs Dilithium
Kyber et Dilithium sont-ils concurrents ?
Non. Kyber est un mécanisme d’encapsulation de clé (il établit un secret partagé), Dilithium est un schéma de signature (il prouve l’authenticité). Ils résolvent des problèmes différents et sont conçus pour fonctionner ensemble dans une même architecture.
Pourquoi parle-t-on de ML-KEM et ML-DSA ?
Ce sont les noms officiels donnés par le NIST après standardisation. Kyber est devenu ML-KEM dans la norme FIPS 203, Dilithium est devenu ML-DSA dans la norme FIPS 204, toutes deux publiées en août 2024. Les anciens noms restent largement utilisés.
Quel niveau de sécurité choisir ?
Le niveau 3 (ML-KEM-768 et ML-DSA-65) est le choix par défaut recommandé : il équilibre sécurité et taille pour la plupart des usages. Réservez le niveau 5 (ML-KEM-1024, ML-DSA-87) aux données ultra-sensibles devant rester confidentielles plusieurs décennies.
Faut-il abandonner RSA et ECDSA tout de suite ?
Non, l’ANSSI recommande l’hybridation : associer un algorithme classique éprouvé et un algorithme post-quantique. Ainsi, une faille théorique dans Kyber ou Dilithium ne compromet pas la sécurité, tant que le recul opérationnel sur ces nouveaux schémas reste limité.
Combien coûtent Kyber et Dilithium ?
Les algorithmes eux-mêmes sont gratuits et dans le domaine public. Le coût réel d’une migration vient de l’ingénierie : inventaire cryptographique, intégration, tests, mise à jour des HSM et des services de gestion de clés. C’est un budget en temps, pas en licences.
Pourquoi les signatures Dilithium sont-elles si grosses ?
La résistance quantique des réseaux euclidiens se paie en taille. Une signature Dilithium fait entre 2 420 et 4 627 octets selon le niveau, contre 64 octets pour ECDSA. C’est le principal défi d’intégration, notamment pour les chaînes de certificats TLS.
Kyber ralentit-il vraiment les sites web ?
À peine. Les mesures de Cloudflare montrent un surcoût de latence d’environ 1 à 2 % pour un handshake TLS hybride X25519 plus Kyber. C’est imperceptible pour l’utilisateur, ce qui explique le déploiement massif dans Chrome dès 2024.
Existe-t-il des alternatives à Kyber et Dilithium ?
Oui. Le NIST a aussi standardisé SPHINCS+ (SLH-DSA) comme signature de secours fondée sur le hachage, et a retenu HQC en mars 2025 comme second KEM de réserve, reposant sur des codes correcteurs plutôt que sur des réseaux. Falcon (FN-DSA) complète l’arsenal des signatures. Kyber et Dilithium restent toutefois les choix par défaut.
Pour aller plus loin (Related Coverage)
- SHA-256 : l’empreinte de 256 bits qui sécurise le web
- OpenSSL : générer clés et certificats en 12 étapes
- Les signatures numériques expliquées
- Chiffrer fichiers et emails avec GPG
- Panorama de la cybermenace 2025 selon l’ANSSI
- Dossier cryptographie et hachage
Sources et références : NIST FIPS 203 (ML-KEM), NIST FIPS 204 (ML-DSA), CRYSTALS-Kyber, CRYSTALS-Dilithium, Cloudflare sur le déploiement post-quantique et l’ANSSI.
