La vulnérabilité quantique dans Bitcoin : un risque contrôlable

Auteur | Christopher Bendiksen, CoinShares

Traduction | GaryMa, Wu Blockchain

Lien vers l’original :

Les ordinateurs quantiques réellement exploitables dans un avenir proche ne relèvent pas d’une simple possibilité à probabilité nulle : ils suscitent en continu de larges débats quant à leurs impacts potentiels sur la sécurité cryptographique du Bitcoin. C’est évidemment une chose saine, et une précaution nécessaire pour un système de conservation de valeur d’une valeur de plusieurs milliers de milliards. Toutefois, bien que cette technologie puisse théoriquement poser des défis, les risques réels restent lointains et peuvent être traités par des moyens directs.

Pour les investisseurs institutionnels, comprendre cette question exige de distinguer les spéculations (ainsi que, malheureusement, une grande partie d’un battage à visée opportuniste et lucratif) d’une analyse fondée sur des preuves. La vulnérabilité quantique du Bitcoin n’est pas une crise imminente : c’est une considération d’ingénierie prévisible, sur laquelle il est possible de disposer de suffisamment de temps pour s’adapter.

Résumé des points clés

Aperçu de la vulnérabilité quantique : l’algorithme de Shor pourrait, en théorie, exposer les clés dans ECDSA/Schnorr ; l’algorithme de Grover affaiblit SHA-256 ; la menace reste lointaine, limitée aux adresses P2PK d’environ 1,7 million de BTC (soit 8% de l’offre totale), avec une probabilité extrêmement faible de choc sur le marché (voir le dernier point ci-dessous)

Cadre de sécurité : s’appuyer sur les courbes elliptiques pour l’autorisation, et sur des fonctions de hachage pour la protection ; le calcul quantique ne peut pas changer la limite d’offre de 21 millions et ne peut pas contourner la preuve de travail ; les P2PKH/P2SH modernes cachent la clé publique avant la dépense ; l’affirmation dite de 25% de vulnérabilité exagère le risque temporaire atténuable

Chronologie et faisabilité : dans un horizon faisable (< 1 an), casser secp256k1 exige 10 à 100 000 fois plus de qubits logiques que le nombre actuel de qubits quantiques capables d’exécuter cette logique avec tolérance aux fautes ; la technologie quantique associée nécessite au moins 10 ans supplémentaires. Une attaque à long terme peut être menée en quelques années — —  —  possiblement réalisable dans une décennie ; une attaque à court terme (attaque via le mempool) nécessite moins de 10 minutes de temps de calcul — —  —  irréalisable à toute autre échelle que l’extrême long terme (des décennies)

Avantages d’une intervention radicale (par exemple une soft/hard fork pour des formats résistants au quantique ou la destruction de pièces) : renforcer le réseau à l’avance, se prémunir contre des percées techniques inattendues, fournir une voie de migration, transmettre un signal de capacité d’adaptation, renforcer la confiance des investisseurs

Inconvénients d’une intervention radicale : une technologie cryptographique non suffisamment validée peut introduire des failles ; elle peut gaspiller des ressources rares de développement sur des solutions non prouvées ou inefficaces, et provoquer davantage de changements ; en supposant que les pièces dormantes ont été perdues, cela conduit à une confiscation ou un vol forcé ; menace de neutralité ; érosion des droits de propriété, de la décentralisation, de l’immutabilité et de la confiance

Impact sur le marché : dans la réalité, cela pourrait se limiter à environ 10 000 BTC ; ces coins pourraient soudainement et de manière inattendue être remis sur le marché parce que les clés privées auraient été compromises ; au final, cela ressemblerait davantage à des transactions ordinaires ; les détenteurs peuvent migrer volontairement ; les pièces restantes sont réparties entre 34 000 adresses, chacune détenant environ 50 BTC ; même dans le scénario le plus optimiste de percée technique, il faudrait des dizaines d’années pour qu’elles soient volées

Analyser correctement ce problème nécessite une compréhension approfondie et minutieuse

Le cadre de sécurité du Bitcoin repose sur deux éléments cryptographiques essentiels : des algorithmes de signature numérique à courbes elliptiques (ECDSA ou Schnorr basé sur secp256k1) pour autoriser les transactions, et des fonctions de hachage telles que SHA-256 pour l’extraction minière et la protection des adresses. ECDSA génère des paires de clés asymétriques ; sur un système de calcul classique, il est impossible de dériver une clé privée à partir de la clé publique par un calcul faisable. SHA-256 fournit un hachage unidirectionnel, dont l’inversion est également impossible par un calcul faisable. Les algorithmes quantiques introduisent des préoccupations spécifiques. Une idée reçue courante est que l’informatique quantique casserait l’ensemble du système cryptographique de façon globale, mais ce n’est pas le cas. Ci-dessous, nous résumons l’impact des ordinateurs quantiques pratiques sur les fonctions cryptographiques courantes.

Types de chiffrement existants — —  avant le quantique et après le quantique :

Le principal problème auquel on est confronté concerne l’algorithme de signature ECDSA 256 bits utilisé pour autoriser les transactions Bitcoin (désormais Schnorr, mais confronté au même problème). L’algorithme de Shor pourrait résoudre en théorie le problème du logarithme discret qui sous-tend les courbes elliptiques ; une fois la clé publique exposée, la clé privée pourrait alors être dérivée.

L’algorithme de Grover réduit la sécurité effective des hachages symétriques comme SHA-256 de 256 bits à 128 bits, mais comme les besoins de calcul sont extrêmement importants, le bruteforce reste irréaliste ; par conséquent, les adresses protégées par le hachage demeurent sûres. Quant au minage, un ordinateur quantique pourrait, en théorie, devenir un dispositif de minage assez rapide ; toutefois, on ne sait pas clairement s’il est plus économique que des ASIC (et, compte tenu du mécanisme intégré d’ajustement automatique de la difficulté, cela n’a pas beaucoup d’importance). L’important est que l’informatique quantique ne peut pas modifier la limite fixe de 21 millions de BTC, ni contourner la preuve de travail requise pour la validation des blocs.

L’exposition au risque ne concerne que les adresses où les clés publiques sont visibles, principalement les sorties Pay-to-Public-Key (P2PK) traditionnelles ; ces adresses détiennent environ 1,6 million de BTC, soit environ 8% de l’offre totale. Cependant, seulement 10 200 BTC se trouvent dans des UTXO ; une fois que ces montants seraient volés par un ordinateur quantique, ils pourraient causer un quelconque perturbation significative sur le marché. Le reste, soit environ 1,6 million de BTC, est réparti sur 32 607 UTXO indépendantes, chacune d’environ 50 BTC : même dans l’hypothèse extrêmement optimiste d’avancées de la technologie quantique, il faudrait des milliers d’années pour les déverrouiller.

Répartition et nombre des pièces vulnérables au quantique

Des formats d’adresse plus modernes, tels que Pay-to-Public-Key-Hash (P2PKH) ou Pay-to-Script-Hash (P2SH), cachent la clé publique via le hachage et maintiennent la sécurité tant que les fonds n’ont pas été dépensés. Les affirmations sur une vulnérabilité de 25% incluent généralement des risques temporaires, comme la réutilisation d’adresses par les exchanges ; ces problèmes peuvent être atténués facilement par les meilleures pratiques. De plus, avant que le développement technique ne devienne réellement dangereux, il y aura une période d’alerte pouvant aller jusqu’à plusieurs années, laissant largement le temps d’ajuster des comportements simples.

Nous sommes encore très loin de la zone de danger

Début 2026, la menace quantique n’est pas imminente. Pour casser secp256k1, il faut un système quantique disposant de plusieurs millions de qubits logiques — —  ce qui dépasse largement les capacités actuelles. Selon des chercheurs, pour inverser une clé publique en une journée, l’attaquant a besoin d’un ordinateur quantique doté de capacités de tolérance aux fautes et de contrôle des erreurs, ce qui n’est pas encore atteint aujourd’hui : il faut 13 millions de qubits physiques — —  soit environ 100 000 fois la taille du plus grand ordinateur quantique actuel. Pour effectuer le piratage en une heure, les performances doivent être 3 millions de fois supérieures à celles de l’ordinateur quantique actuel. Le CTO de la société de cybersécurité Ledger, Charles Guillemet, a déclaré à CoinShares : « Pour casser la cryptographie asymétrique actuelle, il faut des qubits quantiques à l’échelle de plusieurs millions. Le calculateur Willow de Google ne possède aujourd’hui que 105 qubits. Et à chaque qubit supplémentaire, la difficulté à maintenir un système cohérent augmente de manière exponentielle. » Nous analysons plus en profondeur les éléments ci-dessus ici.

Les démonstrations récentes, y compris celles de Google, montrent des progrès, mais elles restent très éloignées de l’ampleur nécessaire pour lancer une attaque réelle contre Bitcoin dans le monde réel.

Certaines estimations suggèrent que les ordinateurs quantiques liés à la cryptographie (sans nécessairement constituer un danger pratique) n’apparaîtraient qu’au cours des années 2030 ou plus tard ; une partie des analyses prédit que cela nécessite 10 à 20 ans.

À ce moment-là, l’exposition au risque à long terme (comme les adresses P2PK) pourrait nécessiter des attaques demandant plusieurs années de calcul ; tandis que l’exposition au risque à court terme (comme les clés publiques visibles dans le mempool pendant une transaction) exigerait que le calcul soit terminé en moins de 10 minutes.

Les interventions radicales ont des avantages et des inconvénients

Les propositions visant à traiter ce problème par des interventions radicales, par exemple une soft fork résistante au quantique effectuée sans validation suffisante ou sans maturité technique, ou pire encore, une hard fork visant à détruire les pièces vulnérables, nécessitent une extrême prudence. De telles actions peuvent non seulement provoquer une catastrophe technique en introduisant par inadvertance des failles critiques, mais aussi affaiblir les principes fondamentaux de Bitcoin en matière de droits de propriété et de décentralisation, érodant la confiance sans nécessité.

Tant que la cryptographie qui soutient sa sécurité n’a pas été suffisamment comprise et validée, l’introduction de nouveaux formats d’adresse est extrêmement dangereuse et ne mérite pas d’être recommandée. Nous devons reconnaître que, avant l’apparition de véritables ordinateurs quantiques exploitables, nous ne pouvons pas déterminer si la cryptographie résistante au quantique est efficace au sens d’une validité prouvable. En outre, si nous choisissons trop tôt des solutions d’adresse résistantes au quantique, nous pourrions engager des ressources rares de développement dans des solutions qui finissent par être prouvées inefficaces, rapidement obsolètes, voire totalement défectueuses.

Nous ne pouvons pas, à la base, déterminer si ces pièces vulnérables sont en sommeil ou déjà perdues, comme le montre parfois le transfert d’adresses restées longtemps inactives. Les détenteurs ont largement l’opportunité de migrer eux-mêmes, volontairement, les fonds ; et si les capacités quantiques continuent de s’améliorer, les actifs non réclamés peuvent également effectuer la transition naturellement.

Dans un avenir prévisible, l’impact au niveau du marché semble limité. Seule une petite partie des BTC vulnérables, environ 10 200 pièces, se trouve dans certaines catégories de P2PK ; si elles étaient compromises rapidement et de manière soudaine, elles pourraient seulement alors affecter la liquidité. Ces événements ressembleraient davantage à de simples transactions de montants importants qu’à un bouleversement systémique. Ce qui mérite davantage d’attention, en revanche, ce sont le maintien de l’immutabilité et de la neutralité de Bitcoin : ces caractéristiques peuvent être menacées par des modifications de protocole trop précoces.

Techniquement, il est possible de se prémunir contre le risque quantique pour Bitcoin sans causer de dommages. « Bitcoin peut adopter des signatures post-quantiques. Les signatures Schnorr (une implémentation technique issue d’une upgrade précédente) ont ouvert la voie à davantage d’améliorations, et Bitcoin peut continuer à évoluer défensivement », a déclaré le cryptographe Adam Back à CoinShares. Grâce à une soft fork, on peut introduire des signatures résistantes au quantique et intégrer sans friction de nouveaux standards cryptographiques. Certaines propositions existantes, par exemple des Bitcoin Improvement Proposals (BIP), ont déjà esquissé cette trajectoire d’évolution. Les utilisateurs peuvent, selon leur propre jugement, migrer leurs fonds vers des adresses sûres, tout en continuant de suivre le développement de la technologie quantique — —  et même utiliser des adresses traditionnelles exposées comme « indicateurs » des progrès techniques.

Pour les investisseurs institutionnels, l’enseignement clé est le suivant : le risque quantique est maîtrisable, et il existe une fenêtre de temps suffisante pour trouver des solutions. L’architecture de Bitcoin lui confère une résilience intrinsèque, capable de soutenir une adaptation proactive. En tant que monnaie saine de l’ère numérique, Bitcoin mérite d’être évalué davantage sur la base de ses fondamentaux que sur la base de menaces techniques exagérées.