9 minutes pour cracker un portefeuille : la publication sur l’ordinateur quantique de Google secoue le monde de la cryptographie, le « moment Y2K » de Bitcoin arrive-t-il ?

Deux articles superposés forment l’avertissement quantique le plus sérieux jamais lancé dans l’industrie de la cryptographie.

Auteur : Kapi Qilara, Deep Tide TechFlow

Le 31 mars, l’équipe Google Quantum AI a publié un livre blanc, un titre plutôt banal, mais un contenu explosif.

La conclusion centrale de l’article : pour casser le chiffrement par courbes elliptiques (ECC-256) qui protège les portefeuilles Bitcoin et Ethereum, les ressources de calcul quantique nécessaires sont environ 20 fois inférieures aux estimations précédentes. Plus précisément, il suffit de moins de 1200 qubits logiques et de 90 millions de portes Toffoli pour réaliser la compromission sur un ordinateur quantique supraconducteur, avec moins de 500 000 qubits physiques, en un temps ne dépassant que quelques minutes.

Le même jour, Caltech et la startup de matériel quantique Oratomic ont publié un autre article, dont la conclusion est encore plus radicale : avec une architecture à atomes neutres, le calcul quantique ne nécessiterait qu’environ 10 000 qubits physiques au minimum pour lancer l’attaque, et 26 000 qubits permettraient de casser ECC-256 en environ 10 jours.

Deux articles superposés forment l’avertissement quantique le plus sérieux jamais lancé dans l’industrie de la cryptographie.

De la « menace théorique et lointaine » au « compte à rebours calculable »

Pour comprendre l’ampleur de l’impact de ces deux articles, il faut regarder une chronologie : en 2012, le monde académique estimait que casser l’ECC-256 nécessiterait environ 1 milliard de qubits physiques. En 2023, le papier de Daniel Litinski a réduit ce chiffre à environ 9 millions. Le nouvel article de Google l’abaisse à moins de 500 000. Oratomic va encore plus loin : jusqu’à 10 000.

En vingt ans, une compression de cinq ordres de grandeur.

Cela signifie que le cadre de discussion sur la menace quantique a été totalement modifié. Le récit dominant dans le passé était : « les ordinateurs quantiques sont encore à des dizaines d’années de pouvoir casser le chiffrement » ; aujourd’hui, on dit : « si les progrès matériels s’accélèrent de façon non linéaire, la fenêtre ne pourrait n’être que de cinq à dix ans ». Un chercheur de la Ethereum Foundation, Justin Drake (également co-auteur de l’article de Google), estime qu’en 2032 la probabilité qu’un ordinateur quantique casse une clé privée ECDSA secp256k1 est d’au moins 10 %.

L’article de Google décrit deux scénarios d’attaque.

Le premier est l’« attaque immédiate » (on-spend attack). Lorsqu’un utilisateur Bitcoin initie une transaction, la clé publique est temporairement exposée dans le mempool. Un ordinateur quantique assez rapide peut retrouver la clé privée à partir de la clé publique en environ 9 minutes, et lancer une transaction concurrente pour voler les fonds avant la confirmation de la transaction. En tenant compte du temps moyen de création des blocs Bitcoin d’environ 10 minutes, l’article estime que la probabilité de réussite de ce type d’attaque est d’environ 41 %.

Dans le domaine de la cryptographie, une probabilité de cassage de 41 % n’est pas une erreur statistique : c’est un schéma de signature déjà compromis.

Le deuxième scénario est l’« attaque à l’état de repos » (at-rest attack), contre des portefeuilles dormants dont la clé publique est déjà exposée sur la chaîne. Cette attaque n’a pas de contrainte de temps ; l’ordinateur quantique peut calculer à son rythme. L’article estime qu’environ 6,9 millions de BTC (soit un tiers de l’offre totale) sont dans cet état d’exposition ; cela inclut environ 1,7 million de pièces provenant de l’époque de Satoshi, ainsi que des fonds dont les clés publiques ont été exposées par une réutilisation d’adresses.

Au prix actuel, ces 6,9 millions de BTC valent plus de 450 milliards de dollars.

Taproot : voulu pour améliorer la confidentialité, mais élargit au contraire la surface d’attaque

Un constat surprenant dans l’article est que la mise à niveau Taproot de Bitcoin en 2021 a créé une nouvelle vulnérabilité du point de vue de la sécurité quantique. Taproot vise à améliorer l’efficacité des transactions et la confidentialité, en utilisant un schéma de signature Schnorr. Mais la caractéristique des signatures Schnorr est que la clé publique est exposée par défaut sur la chaîne, supprimant la couche de protection « hacher puis exposer » dans l’ancien format d’adresse (P2PKH).

Autrement dit, l’amélioration de la sécurité traditionnelle apportée par Taproot ouvre précisément une porte sur le plan de la sécurité quantique. Ce changement étend le pool de Bitcoins vulnérables aux attaques quantiques : des pièces de l’époque initiale et des adresses réutilisées à tous les portefeuilles utilisant Taproot.

Ethereum : un problème plus grand, mais une préparation plus tôt

Si Bitcoin fait face à un risque « au niveau du portefeuille », le problème d’Ethereum est « au niveau de l’infrastructure ».

L’article de Google indique qu’Ethereum est exposé à des attaques quantiques à cinq niveaux : les portefeuilles personnels, la gestion des clés secrètes des contrats intelligents, la validation de staking PoS, les réseaux Layer 2, et le mécanisme d’échantillonnage de disponibilité des données. L’article estime qu’au sein des 1000 plus grands portefeuilles, Ethereum détient environ 20,5 millions d’ETH ; un ordinateur quantique capable de casser une clé en 9 minutes pourrait tout vider en moins de 9 jours. À la valeur de l’ETH aujourd’hui, la valeur de ces actifs s’élève à environ 41,5 milliards de dollars.

Le problème plus profond est celui du risque systémique. Sur Ethereum, environ 200 milliards de dollars de stablecoins et d’actifs tokenisés dépendent de signatures par clés d’administration ; environ 3700 000 ETH mis en staking sont authentifiés via les mêmes signatures numériques vulnérables aux attaques quantiques. Si un grand pool de staking est compromis, les attaquants pourraient même interférer avec le mécanisme de consensus lui-même.

Cependant, Ethereum présente un avantage structurel : le temps de génération des blocs n’est que de 12 secondes, la plupart des transactions sont confirmées en moins d’une minute, et une grande quantité de transactions utilise des mempools privés. Cela rend la faisabilité de l’« attaque immédiate » sur Ethereum bien inférieure à celle sur Bitcoin.

La bonne nouvelle, c’est que la communauté Ethereum réagit de manière plus proactive.

La semaine dernière, Ethereum Foundation a mis en ligne pq.ethereum.org, qui rassemble les résultats de huit années de recherche post-quantique ; plus de 10 équipes de clients font progresser le développement et les tests des réseaux chaque semaine. Vitalik Buterin avait également publié auparavant une feuille de route de résistance quantique. En comparaison, la culture de gouvernance de la communauté Bitcoin est plus conservatrice : la proposition BIP-360 (introduisant un format de portefeuille résistant aux attaques quantiques) a bien été intégrée en février dans le dépôt BIP, mais elle ne traite qu’une catégorie de problèmes d’exposition des clés publiques ; une migration complète de la cryptographie nécessiterait des changements de protocole à plus grande échelle.

Réaction de la communauté : panique, rationalité, et « ce n’est pas seulement notre problème »

La réaction de l’industrie de la cryptographie s’est, comme prévu, divisée en plusieurs camps.

Le camp de la panique, représenté par Alex Pruden, PDG de Project Eleven : « cet article contredit directement chacun des arguments utilisés par l’industrie de la cryptographie pour ignorer la menace quantique ». Les mots de Haseeb Qureshi, partenaire de Dragonfly, sur X sont encore plus directs : « le post-quantique n’est plus un exercice ».

Le camp de l’optimisme rationnel, représenté par CZ. Il estime que les cryptomonnaies n’ont qu’à passer à des algorithmes résistants aux attaques quantiques : « pas besoin de paniquer ». Ce point de vue est correct sur le plan technique, mais il néglige une question clé : une blockchain décentralisée ne peut pas pousser de force des mises à jour logicielles comme le font une banque ou un réseau militaire. Le cycle de migration de l’infrastructure Bitcoin, depuis les portefeuilles des utilisateurs jusqu’au support par les bourses, puis jusqu’aux nouveaux formats d’adresse, pourrait prendre cinq à dix ans, même si les parties prenantes parviennent aujourd’hui à un consensus.

Le « tout peut être cassé » souligne que l’informatique quantique menace bien plus que la blockchain : l’ensemble du système bancaire mondial, les virements SWIFT, les bourses de valeurs, les communications militaires, et les sites HTTPS dépendent tous du même type de cryptographie. L’article de Google répond positivement à cela : les systèmes centralisés peuvent pousser des mises à jour aux utilisateurs ; les blockchains décentralisées ne peuvent pas. C’est la différence fondamentale.

L’humour le plus froid vient de Musk : « au moins, si tu oublies le mot de passe du portefeuille, tu pourras le récupérer plus tard ».

Conflits d’intérêts et remise rationnelle

Les deux articles ne sont pas « uniquement de la recherche académique ».

Les 9 auteurs du papier Caltech/Oratomic sont tous actionnaires d’Oratomic, et 6 d’entre eux sont des employés de la société. Cet article est à la fois une réussite scientifique et une promotion commerciale de la feuille de route du matériel à atomes neutres de l’entreprise. Le papier de Google n’est pas non plus entièrement neutre : Google a fixé à 2029 sa date limite interne pour migrer ses systèmes vers la cryptographie post-quantique ; les conclusions de l’article s’alignent fortement avec cette décision commerciale. En outre, pour des raisons de sécurité, Google n’a pas publié la conception réelle des circuits quantiques, mais a validé les résultats auprès du gouvernement américain au moyen d’une preuve à divulgation nulle de connaissance.

Les conflits d’intérêts dans les articles doivent être mis à la baisse, mais la tendance elle-même ne doit pas être mise à la baisse. À chaque fois que quelqu’un affirme que « la menace quantique est exagérée », le prochain article réduira à nouveau le nombre de qubits requis d’un ordre de grandeur.

À quel point reste-t-il avant le « Q-Day » ?

À l’heure actuelle, les ordinateurs quantiques les plus avancés disposent d’environ 6000 qubits, et leur temps de cohérence n’est que d’environ 13 secondes. De 6000 qubits aux 500 000 qubits exigés par l’article de Google (ou aux 10 000 qubits revendiqués par Oratomic), il subsiste entre les deux un immense fossé d’ingénierie.

Mais la métaphore de McKenna, investisseur en cryptographie, mérite qu’on s’en souvienne : « vous pouvez imaginer le Q-Day comme le Y2K, mais cette fois, c’est pour de vrai ».

Eli Ben-Sasson, cofondateur de StarkWare, appelle la communauté Bitcoin à accélérer les démarches pour BIP-360. Google, de son côté, indique travailler avec Coinbase, le Stanford Blockchain Research Institute et la Ethereum Foundation pour推进 une migration responsable.

Le débat n’est plus : « est-ce que l’informatique quantique peut casser la cryptographie ? », mais : « est-ce que l’industrie de la cryptographie peut terminer la migration avant que le matériel ne rattrape le retard ? ». Le calendrier 2029 de Google, combiné à la compression spectaculaire des exigences en qubits dans le papier d’Oratomic, laisse à l’industrie une marge de manœuvre plus courte que ce que n’importe qui n’aurait anticipé.

Les 1,1 million de BTC endormis de Satoshi ne peuvent pas migrer eux-mêmes vers des adresses quantiquement sûres. Si l’informatique quantique arrive en premier, cet héritage numérique d’une valeur de plus de 70 milliards de dollars deviendra l’objectif du plus grand « sauvetage de naufrage numérique » de l’histoire. L’article de Google introduit même, à cette fin, un cadre juridique de « droit de récupération numérique » (digital salvage), faisant allusion au fait que les gouvernements de différents pays pourraient devoir légiférer pour traiter ces actifs dormants qui ne peuvent pas être migrés.

C’est un problème que le livre blanc de Bitcoin n’avait pas prévu : si la barrière mathématique qui protège la propriété privée est elle-même percée, « Code is Law » peut-il encore tenir ?