L'calendario réaliste de la menace du calcul quantique sur la cryptographie : débat rationnel sur "5 ans, 10 ans ou plus"

Nous entendons souvent des nouvelles sensationnelles sur des percées en calcul quantique. Mais le calcul quantique va-t-il réellement casser la cryptographie moderne dans cinq ans ? Justin Thaler, partenaire de recherche chez a16z, souligne dans une analyse approfondie que le calendrier selon lequel le calcul quantique représenterait une menace pour les systèmes cryptographiques est souvent fortement exagéré. Cette étude révèle un fait central : bien que le calcul quantique constitue effectivement un risque à long terme, son arrivée est bien plus tardive que ce que beaucoup prétendent. Plus important encore, la menace varie considérablement selon les outils cryptographiques — une distinction clé souvent ignorée.

La menace du calcul quantique pour la cryptographie n’est pas un événement unique, mais une problématique complexe nécessitant une analyse fine selon le contexte d’application. Cet article analysera systématiquement ces véritables calendriers, risques concrets et réponses sectorielles.

Progrès réels du calcul quantique : réalité technologique vs communication marketing

Lorsque nous parlons de “calcul quantique”, on imagine généralement un ordinateur capable de casser RSA-2048 ou secp256k1 (courbe elliptique utilisée par Bitcoin). Un tel ordinateur doit répondre à des critères stricts : être tolérant aux fautes, disposer de capacités de correction d’erreurs, exécuter l’algorithme de Shor, et être de taille suffisante pour casser en un temps raisonnable (par exemple un mois).

Selon des rapports techniques publics et évaluations de ressources, nous sommes encore très loin de tels systèmes. Bien que certaines entreprises prétendent atteindre cet objectif d’ici 2030 ou 2035, les avancées technologiques actuelles ne soutiennent pas ces estimations optimistes. Ni les systèmes à piège d’ions, ni les qubits supraconducteurs, ni les atomes neutres ne se rapprochent de la taille nécessaire pour casser RSA-2048. La résolution de ce type de cryptographie nécessite des dizaines de milliers, voire des millions de qubits physiques — un nombre qui dépend du taux d’erreur et des schémas de correction.

Le principal obstacle n’est pas seulement le nombre de qubits, mais aussi la précision des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes complexes. Bien que certains systèmes physiques comptent plus de 1000 qubits, ce chiffre est trompeur : ils manquent de connectivité et de précision pour réaliser des calculs cryptographiques. Même si la correction d’erreurs physique approche le seuil nécessaire, personne ne peut actuellement maintenir de manière stable quelques qubits logiques — sans parler de milliers — avec la précision requise, ni réaliser des circuits profonds et tolérants aux fautes. La différence entre une preuve de concept et une application pratique de la cryptanalyse reste immense.

Pourquoi la communication médiatique est-elle si confuse ?

Les communiqués commerciaux et médias créent souvent de la confusion. Les principales sources d’erreur incluent :

“Démonstrations de l’avantage quantique” trompeuses : les tâches présentées sont souvent soigneusement conçues, non représentatives d’applications utiles, et simplement adaptées pour tourner sur du matériel existant, donnant une impression de rapidité. Ce détail est souvent ignoré dans la communication.

“Mille ou plusieurs milliers de qubits physiques” : cette expression concerne souvent des ordinateurs quantiques adiabatiques (simulant l’optimisation), et non des machines universelles capables d’exécuter Shor pour casser la cryptographie à clé publique.

L’usage abusif du terme “qubits logiques” : les qubits physiques sont sujets au bruit, et la cryptographie pratique nécessite leur correction via des qubits logiques, construits à partir de plusieurs qubits physiques. Exécuter Shor requiert des milliers de qubits logiques, chacun correspondant à plusieurs centaines voire milliers de qubits physiques. Certaines entreprises exagèrent en affirmant utiliser des codes d’erreur “distance-2” (ne détectant pas mais pas corrigeant les erreurs) pour atteindre 48 qubits logiques, avec seulement 2 qubits physiques par qubit logique — ce qui est totalement infondé.

Faux engagements dans les feuilles de route : beaucoup de projets annoncent dans leur feuille de route la réalisation de “milliers de qubits logiques” capables de faire des opérations de Clifford, qui peuvent être simulées efficacement sur ordinateur classique, et ne suffisent pas à exécuter Shor (qui nécessite de nombreux “portes non-Clifford” comme la porte T). Ainsi, même si une feuille de route annonce des “milliers de qubits logiques” à une certaine date, cela ne signifie pas qu’ils pourront casser la cryptographie classique à cette échéance.

Ces pratiques déforment gravement la perception publique (y compris chez de nombreux observateurs informés), et biaisent la compréhension des progrès en calcul quantique.

Même des chercheurs renommés gonflent la menace temporelle

Scott Aaronson, un chercheur en calcul quantique de renom, a récemment indiqué que, compte tenu de la vitesse de développement du matériel, il est “tout à fait possible” qu’un ordinateur tolérant aux fautes capable d’exécuter Shor apparaisse avant la prochaine élection présidentielle américaine. Il précise toutefois que cela ne concerne pas la rupture de la cryptographie — même pour factoriser 15=3×5 à la main, ce qui serait une démonstration triviale. Il s’agit simplement d’un petit exemple, visant à illustrer la faisabilité à petite échelle, car la factorisation de nombres plus grands (comme 21) est beaucoup plus complexe.

Conclusion centrale : l’idée qu’un ordinateur quantique capable de casser RSA-2048 ou secp256k1 (essentiels pour la cryptographie pratique) apparaîtra dans les cinq prochaines années n’est pas étayée par des résultats techniques publics. Même en étendant à 10 ans, cet objectif reste très ambitieux. La réalité est que l’enthousiasme pour la progression doit être tempérée par une évaluation du temps restant, qui reste probablement encore plusieurs décennies.

Deux types de menaces cryptographiques : risques très différents

Comprendre la menace du calcul quantique nécessite de reconnaître que différents outils cryptographiques sont exposés à des risques très distincts. Cette distinction est cruciale mais souvent ignorée.

Attaques “maintenant pour déchiffrer plus tard” : un risque spécifique

Principe de l’attaque “Harvest Now, Decrypt Later” : un attaquant collecte aujourd’hui des communications chiffrées, les stocke, puis, lorsque la puissance de calcul quantique sera disponible, tente de les déchiffrer. Les acteurs étatiques peuvent avoir déjà archivé massivement des communications gouvernementales américaines pour les déchiffrer ultérieurement.

Ce type d’attaque concerne directement les algorithmes de chiffrement. Les données sensibles aujourd’hui chiffrées peuvent rester valables pendant des décennies, et leur valeur sera détruite si elles sont décryptées à l’avenir avec un ordinateur quantique. La migration vers la cryptographie post-quantique doit donc être immédiate pour ces cas, malgré le coût et la complexité — c’est une nécessité inévitable.

En revanche, cette menace ne concerne pas les signatures numériques.

La menace sur la signature numérique est totalement différente

Les signatures numériques (fondement de toutes les blockchains) ne visent pas à protéger la confidentialité pour empêcher la récupération. Même si un ordinateur quantique apparaît, il ne pourra que falsifier une signature future, pas déchiffrer une signature passée. Si vous pouvez prouver qu’une signature a été créée avant l’arrivée du quantique, elle ne pourra pas être falsifiée.

Cela réduit considérablement l’urgence de migrer vers des signatures post-quantiques par rapport à la cryptographie de chiffrement. La mise en œuvre de nouvelles signatures post-quantiques, avec leurs coûts (augmentation de taille, performances, immature, potentiellement vulnérables), doit être planifiée avec prudence, pas précipitée.

Propriétés particulières des zkSNARK

Les preuves à divulgation zéro (zkSNARK) sont similaires aux signatures : même si elles utilisent des courbes elliptique non résistantes aux attaques quantiques, leur propriété de “zéro connaissance” est elle-même résistante aux attaques quantiques. Elle garantit que la preuve ne divulgue aucune information sur le secret, même face à un ordinateur quantique. Il n’y a donc pas de risque de “voler maintenant, déchiffrer plus tard” pour ces preuves.

Évaluation de la menace quantique dans l’écosystème blockchain

La majorité des blockchains publiques sont naturellement immunisées

Bitcoin, Ethereum et autres chaînes non privées : la cryptographie post-quantique est principalement utilisée pour la signature, pas pour le chiffrement. Ces signatures ne sont pas vulnérables à l’attaque “maintenant pour déchiffrer plus tard”. Sur Bitcoin, la menace quantique concerne la falsification des signatures (vol de fonds), pas le déchiffrement des transactions déjà publiées. Cela élimine l’urgence immédiate de migration cryptographique.

Même des institutions comme la Fed américaine ont parfois exagéré la vulnérabilité, en affirmant que Bitcoin serait facilement attaquable, ce qui est une surestimation.

Cela dit, Bitcoin doit quand même planifier sa migration, notamment en raison des défis sociaux et techniques liés à la mise à jour du protocole.

Risque réel pour les monnaies privées (privacy coins)

Cas des chaînes privées ou anonymes : si ces chaînes chiffrent ou dissimulent les destinataires et montants, ces données pourraient être compromises aujourd’hui, puis décryptées à l’aide d’un ordinateur quantique dans le futur. La gravité dépend de leur conception (par exemple, Monero avec ses signatures en anneau et ses images clés pourrait permettre de reconstituer le graphe des transactions). Si les utilisateurs craignent que leurs transactions soient révélées à l’avenir, ils doivent migrer rapidement vers des primitives post-quantiques ou des architectures hybrides, ou éviter d’enregistrer des secrets déchiffrables sur la chaîne.

Défis spécifiques de Bitcoin : gouvernance et “zombie coins”

Pour Bitcoin, deux facteurs liés à la réalité rendent la planification de la signature post-quantique urgente, mais sans lien direct avec la technologie quantique elle-même :

Gouvernance lente : l’évolution de Bitcoin est lente, et toute divergence peut entraîner des hard forks destructeurs.

Migration passive impossible : les détenteurs doivent volontairement migrer leurs fonds. Les coins abandonnés ou non migrés restent vulnérables. On estime qu’il pourrait y avoir des millions de “zombies” vulnérables, représentant des trillions de dollars.

La menace quantique n’est pas une révélation soudaine, mais un processus progressif. Les premières attaques quantiques seront coûteuses et ciblées, visant principalement les adresses de grande valeur. La sécurité repose aussi sur des bonnes pratiques : éviter la réutilisation d’adresses, ne pas utiliser Taproot (qui expose la clé publique en clair), et garder la clé publique dans un hachage jusqu’à l’utilisation.

Les coins abandonnés ou vulnérables (avec clés publiques exposées) sont les plus à risque. La solution est complexe : fixer une date limite pour la migration, ou accepter que certains fonds soient considérés comme “détruits” après cette date, ou laisser faire, ce qui pourrait poser des problèmes juridiques et techniques.

Un autre défi est le faible débit transactionnel de Bitcoin, rendant la migration complète sur plusieurs mois.

Cela oblige Bitcoin à commencer dès maintenant à planifier la transition vers le post-quantique, non pas parce que la machine apparaîtra en 2030, mais parce que la gestion, la coordination et la logistique nécessitent plusieurs années pour déplacer des centaines de milliards d’actifs.

Remarque : les vulnérabilités liées aux signatures n’affectent pas la sécurité économique de Bitcoin (preuve de travail). La preuve de travail repose sur le hachage, et seul l’algorithme Grover pourrait accélérer la recherche par un facteur 2, mais à un coût énorme, rendant cette accélération peu probable. Même si cela se produisait, cela favoriserait les grands mineurs, sans compromettre la sécurité économique.

Coûts et risques des signatures post-quantiques

Pourquoi ne pas déployer précipitamment des signatures post-quantiques sur la blockchain ? Il faut comprendre que ces nouvelles solutions ont un coût en performance et en confiance, étant encore en développement.

Les schemes post-quantiques reposent sur cinq familles de problèmes mathématiques difficiles : hachage, codes, grilles, systèmes quadratiques, courbes elliptiques isométriques. La diversité vise à équilibrer efficacité et sécurité, car plus une structure est forte, plus l’algorithme est efficace, mais plus il peut présenter des vulnérabilités.

Schemes à base de hachage : très sûrs mais peu performants. La taille minimale d’une signature est de 7-8 Ko, contre 64 octets pour une signature elliptique.

Schemes à base de grilles : actuellement en cours de déploiement. La norme NIST a sélectionné le schéma ML-KEM, et deux des trois schémas de signature (ML-DSA, Falcon) sont basés sur cette famille.

• ML-DSA : signatures de 2,4-4,6 Ko, 40-70 fois plus grandes que les signatures classiques.
• Falcon : signatures plus petites (0,7-1,3 Ko), mais très complexe à implémenter, avec des risques de canaux auxiliaires et d’attaques par injection de fautes. Son créateur la qualifie de “l’algorithme cryptographique le plus complexe que j’aie implémenté”.

Les implémentations sont plus difficiles : la signature à base de grille nécessite plus de valeurs intermédiaires, une logique de rejet plus complexe, et une protection contre les canaux et fautes plus forte que pour ECC. La menace de vulnérabilités logicielles ou de canaux auxiliaires est bien plus immédiate que celle d’un ordinateur quantique.

Les tentatives de normalisation précipitée comportent des risques : des algorithmes comme Rainbow (basé sur des systèmes multivariés) ou SIKE/SIDH (basés sur la courbe isométrique) ont été cassés en pratique sur ordinateur classique, illustrant le danger d’une normalisation prématurée.

Les infrastructures Internet, prudentes, évitent souvent de faire des migrations rapides, car cela prend plusieurs années (ex : migration de MD5/SHA-1).

Défis communs aux infrastructures Internet et aux blockchains

Facteurs positifs : les blockchains open source (Ethereum, Solana) peuvent évoluer plus rapidement que l’infrastructure classique.
Facteurs négatifs : la rotation régulière des clés, pratique courante dans le PKI, n’est pas toujours appliquée dans les crypto-actifs, laissant des clés vulnérables à long terme.

Il est conseillé que la migration vers des signatures post-quantiques suive une approche prudente, comme dans le PKI, en évitant une transition précipitée. La migration coûte cher et comporte des risques.

Plusieurs caractéristiques spécifiques rendent la transition précoce risquée :

• Agrégation de signatures : la nécessité de combiner rapidement de nombreux signatures (ex : BLS). BLS est rapide mais non post-quantique. Les schémas SNARK post-quantiques en cours de recherche pourraient offrir une agrégation efficace, mais ils sont encore expérimentaux.

• Futurs SNARK : la communauté privilégie actuellement des SNARK basés sur le hachage, mais des alternatives basées sur la grille pourraient émerger dans les mois ou années à venir, avec de meilleures performances.

• Sécurité de l’implémentation : dans les années à venir, les vulnérabilités logicielles et attaques par canaux sur SNARK et signatures post-quantiques seront probablement plus graves que la menace quantique elle-même. La communauté doit investir dans l’audit, la validation formelle, et la résistance aux attaques.

Une migration prématurée pourrait entraîner des situations difficiles ou nécessiter une nouvelle migration pour corriger des défauts.

Recommandations stratégiques

En tenant compte de ces réalités, voici sept recommandations pour tous les acteurs (développeurs, décideurs) :

1. Déployer immédiatement des schemes hybrides (classique + post-quantiques) dans les cas où la confidentialité à long terme est critique et le coût acceptable. De nombreux navigateurs, CDN, applications (iMessage, Signal) ont déjà commencé.
2. Utiliser dès maintenant des signatures à base de hachage dans des contextes tolérant de grandes tailles (mises à jour peu fréquentes). La signature hybride offre une protection contre des défauts potentiels.
3. Ne pas précipiter la migration des blockchains vers des signatures post-quantiques, mais commencer à planifier dès maintenant.
4. Les développeurs doivent suivre l’approche prudente du PKI, en faisant mûrir les solutions.
5. Les blockchains publiques comme Bitcoin doivent définir dès maintenant leur trajectoire de migration et leur politique pour les “zombies” vulnérables. La difficulté n’est pas technique, mais sociale et organisationnelle.
6. Réserver du temps pour la recherche et la maturation des SNARK et signatures agrégées post-quantiques (plusieurs années), afin d’éviter des solutions sous-optimales précocement.
7. Pour les comptes Ethereum et autres wallets : la possibilité d’utiliser des contrats intelligents (upgradables) offre une transition plus douce, mais la priorité est la recherche continue sur primitives post-quantiques et plans d’urgence. La séparation de l’identité et du schéma de signature (account abstraction) peut aussi offrir une flexibilité accrue pour la transition.

Pour les chaînes privées ou axées sur la confidentialité : la migration doit être prioritaire, car la confidentialité est déjà vulnérable aujourd’hui. La migration vers des primitives hybrides ou post-quantiques est essentielle.

Conclusion

Il est crucial de ne pas précipiter la mise en œuvre de signatures post-quantiques, car cela comporte des coûts, des risques d’implémentation, et des vulnérabilités potentielles. La recherche doit continuer, et la planification doit être prudente, pour éviter des situations où des vulnérabilités logicielles ou des attaques par canaux seraient plus graves que la menace quantique elle-même.