Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Visa, Mastercard, SEPA et bien plus
P2P
0 Fees
Trading flexible, zéro frais
Gate Card
Payez partout avec vos cryptos
Marchés
Trader
Basique
Avancé
Futures
Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Square
Square
Découvrir la valeur en crypto
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
flower_head
Plus
Promotions
AI
Autres
TradFi
WCTC S8
Récompenses

a16z Longue : Quels risques la calcul quantique fait-elle peser sur les cryptomonnaies ?

動區BlockTempo
ethereum news
ETH-0,32%

«À quand l’arrivée des ordinateurs quantiques constituant une menace réelle pour la cryptographie ? Dans quels scénarios s’appliquent les attaques HNDL ? Quels défis uniques le Bitcoin doit-il relever ? a16z analyse en profondeur l’impact réel de la menace quantique sur la blockchain et les stratégies d’adaptation. Cet article est issu d’un texte de a16z, organisé, traduit et rédigé par Wu Say Blockchain.
(Précédent : Analyse approfondie : Ne craignons-nous pas trop la menace de sécurité cryptographique posée par les ordinateurs quantiques ?)
(Complément d’information : a16z : Aperçu des 17 grandes tendances potentielles dans le domaine de la cryptographie d’ici 2026)

Table des matières

  • Où en sommes-nous dans le calendrier actuel ?
  • Dans quels scénarios les attaques HNDL sont-elles applicables (et dans quels scénarios ne le sont-elles pas) ?
  • Qu’est-ce que cela signifie pour la blockchain
  • Défis spécifiques du Bitcoin : mécanismes de gouvernance + monnaies abandonnées
  • Coûts et risques des signatures post-quantiques
  • Défis uniques de la blockchain vs infrastructure réseau
  • Problème plus urgent actuellement : sécurité de l’implémentation
  • Que devons-nous faire ? Sept recommandations
      1. Déployer immédiatement un cryptage hybride
      1. Utiliser immédiatement la signature par hachage dans les scénarios tolérant de grandes tailles de signatures
      1. La blockchain n’a pas besoin d’un déploiement précipité des signatures post-quantiques — mais doit commencer à planifier dès maintenant
      1. Pour les chaînes privées, dès que la performance le permet, privilégier la migration
      1. Prioriser la sécurité de l’implémentation à court terme — plutôt que l’atténuation de la menace quantique
      1. Soutenir le développement de l’informatique quantique
      1. Maintenir une perspective correcte sur les annonces liées à l’informatique quantique

Concernant « quand arrivera l’ordinateur quantique capable de constituer une menace réelle pour le système cryptographique actuel », on observe souvent des prévisions exagérées — ce qui alimente les appels à une migration immédiate et massive vers des systèmes post-quantiques.

Mais ces appels ignorent souvent le coût et le risque d’une migration prématurée, ainsi que le fait que les risques varient considérablement selon la primitive cryptographique concernée :

Même si le coût de la cryptographie post-quantique est élevé, il faut la déployer immédiatement : l’attaque « récolter maintenant, déchiffrer plus tard » (Harvest-now-decrypt-later, HNDL) est déjà en cours, car lorsque l’ordinateur quantique arrivera réellement — même dans plusieurs décennies — les données sensibles protégées aujourd’hui par cryptographie resteront précieuses. Bien que la cryptographie post-quantique impose des coûts de performance et des risques d’implémentation, pour les données à long terme, l’attaque HNDL n’a pas d’alternative.

Les signatures post-quantiques, quant à elles, sont tout à fait différentes. Elles ne sont pas affectées par l’attaque HNDL, mais leur coût et leurs risques (tailles plus grandes, consommation accrue, implémentation encore immature, vulnérabilités potentielles) impliquent que leur migration doit être menée avec prudence, pas immédiatement.

Ces distinctions sont cruciales. Toute confusion peut fausser l’analyse coûts-bénéfices, en faisant passer sous silence des risques de sécurité plus fondamentaux — comme l’existence même de vulnérabilités.

Le vrai défi pour une transition réussie vers un système cryptographique post-quantique est d’aligner « urgence » et « menace réelle ». Ci-dessous, je vais clarifier les idées reçues courantes sur la menace quantique et ses implications pour la cryptographie — y compris le chiffrement, la signature et la preuve à divulgation zéro — en mettant particulièrement l’accent sur leur impact sur la blockchain.

Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques étant très bruyants, l’algorithme nécessite des qubits logiques ; comme mentionné, Shor requiert plusieurs milliers de qubits logiques. Avec correction d’erreurs, un qubit logique correspond à plusieurs centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, une récente annonce prétendait réaliser 48 qubits logiques avec un code de distance 2, en utilisant seulement deux qubits physiques par qubit logique. C’est absurde : un code de distance 2 ne peut que détecter des erreurs, pas les corriger. Les qubits logiques pour le décryptage doivent être tolérants aux erreurs, donc nécessitent des centaines ou milliers de qubits physiques.

Plus généralement, beaucoup de feuilles de route quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor — qui nécessite des portes T (non-Clifford) et une correction d’erreurs.

Ainsi, même si une feuille de route annonce « X milliers de qubits logiques en année Y », cela ne signifie pas que cette entreprise pourra exécuter Shor pour casser RSA ou ECC à cette date.

Ces pratiques déforment gravement la perception publique (et même celle des professionnels) de la proximité réelle d’un CRQC.

Néanmoins, certains experts restent optimistes. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité du développement hardware, il est « plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur quantique tolérant capable d’exécuter Shor.

Mais il précise que cela ne signifie pas un ordinateur capable de casser la cryptographie : même un Shor à petite échelle, capable de décomposer 15=3×5 — une opération triviale à la main — serait considéré comme une preuve de concept. La norme reste donc une exécution de Shor à une échelle très limitée, pas à une échelle cryptographique significative ; la décomposition de 15 a été réalisée avec un circuit simplifié, pas avec un vrai ordinateur tolérant.

De plus, les expériences quantiques visant à décomposer 15 ne sont pas accidentelles : 15 est un nombre simple pour l’arithmétique modulaire, et décomposer des nombres légèrement plus grands (comme 21) est beaucoup plus difficile. Par conséquent, les expériences prétendant décomposer 21 reposent souvent sur des astuces ou des raccourcis.

En résumé : il n’y a actuellement aucune avancée publique crédible pour une machine capable de casser RSA-2048 ou secp256k1 dans moins de 10 ans. Même 10 ans reste une prévision très optimiste. La distance réelle avec un CRQC est encore très grande, même si l’on reste optimiste quant aux progrès.

Que signifie alors pour le gouvernement américain de fixer 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne constitue pas une prévision selon laquelle un CRQC apparaîtrait d’ici là.

Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques étant très bruyants, l’algorithme nécessite des qubits logiques ; comme mentionné, Shor requiert plusieurs milliers de qubits logiques. Avec correction d’erreurs, un qubit logique correspond à plusieurs centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, une récente annonce prétendait réaliser 48 qubits logiques avec un code de distance 2, en utilisant seulement deux qubits physiques par qubit logique. C’est absurde : un code de distance 2 ne peut que détecter des erreurs, pas les corriger. Les qubits logiques pour le décryptage doivent être tolérants aux erreurs, donc nécessitent des centaines ou milliers de qubits physiques.

Plus généralement, beaucoup de feuilles de route quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor — qui nécessite des portes T (non-Clifford) et une correction d’erreurs.

Ainsi, même si une feuille de route annonce « X milliers de qubits logiques en année Y », cela ne signifie pas que cette entreprise pourra exécuter Shor pour casser RSA ou ECC à cette date.

Ces pratiques déforment gravement la perception publique (et même celle des professionnels) de la proximité réelle d’un CRQC.

Néanmoins, certains experts restent optimistes. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité du développement hardware, il est « plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur quantique tolérant capable d’exécuter Shor.

Mais il précise que cela ne signifie pas un ordinateur capable de casser la cryptographie : même un Shor à petite échelle, capable de décomposer 15=3×5 — une opération triviale à la main — serait considéré comme une preuve de concept. La norme reste donc une exécution de Shor à une échelle très limitée, pas à une échelle cryptographique significative ; la décomposition de 15 a été réalisée avec un circuit simplifié, pas avec un vrai ordinateur tolérant.

De plus, les expériences quantiques visant à décomposer 15 ne sont pas accidentelles : 15 est un nombre simple pour l’arithmétique modulaire, et décomposer des nombres légèrement plus grands (comme 21) est beaucoup plus difficile. Par conséquent, les expériences prétendant décomposer 21 reposent souvent sur des astuces ou des raccourcis.

En résumé : il n’y a actuellement aucune avancée publique crédible pour une machine capable de casser RSA-2048 ou secp256k1 dans moins de 10 ans. Même 10 ans reste une prévision très optimiste. La distance réelle avec un CRQC est encore très grande, même si l’on reste optimiste quant aux progrès.

Que signifie alors pour le gouvernement américain de fixer 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne constitue pas une prévision selon laquelle un CRQC apparaîtrait d’ici là.

Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques étant très bruyants, l’algorithme nécessite des qubits logiques ; comme mentionné, Shor requiert plusieurs milliers de qubits logiques. Avec correction d’erreurs, un qubit logique correspond à plusieurs centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, une récente annonce prétendait réaliser 48 qubits logiques avec un code de distance 2, en utilisant seulement deux qubits physiques par qubit logique. C’est absurde : un code de distance 2 ne peut que détecter des erreurs, pas les corriger. Les qubits logiques pour le décryptage doivent être tolérants aux erreurs, donc nécessitent des centaines ou milliers de qubits physiques.

Plus généralement, beaucoup de feuilles de route quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor — qui nécessite des portes T (non-Clifford) et une correction d’erreurs.

Ainsi, même si une feuille de route annonce « X milliers de qubits logiques en année Y », cela ne signifie pas que cette entreprise pourra exécuter Shor pour casser RSA ou ECC à cette date.

Ces pratiques déforment gravement la perception publique (et même celle des professionnels) de la proximité réelle d’un CRQC.

Néanmoins, certains experts restent optimistes. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité du développement hardware, il est « plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur quantique tolérant capable d’exécuter Shor.

Mais il précise que cela ne signifie pas un ordinateur capable de casser la cryptographie : même un Shor à petite échelle, capable de décomposer 15=3×5 — une opération triviale à la main — serait considéré comme une preuve de concept. La norme reste donc une exécution de Shor à une échelle très limitée, pas à une échelle cryptographique significative ; la décomposition de 15 a été réalisée avec un circuit simplifié, pas avec un vrai ordinateur tolérant.

De plus, les expériences quantiques visant à décomposer 15 ne sont pas accidentelles : 15 est un nombre simple pour l’arithmétique modulaire, et décomposer des nombres légèrement plus grands (comme 21) est beaucoup plus difficile. Par conséquent, les expériences prétendant décomposer 21 reposent souvent sur des astuces ou des raccourcis.

En résumé : il n’y a actuellement aucune avancée publique crédible pour une machine capable de casser RSA-2048 ou secp256k1 dans moins de 10 ans. Même 10 ans reste une prévision très optimiste. La distance réelle avec un CRQC est encore très grande, même si l’on reste optimiste quant aux progrès.

Que signifie alors pour le gouvernement américain de fixer 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne constitue pas une prévision selon laquelle un CRQC apparaîtrait d’ici là.

Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques étant très bruyants, l’algorithme nécessite des qubits logiques ; comme mentionné, Shor requiert plusieurs milliers de qubits logiques. Avec correction d’erreurs, un qubit logique correspond à plusieurs centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, une récente annonce prétendait réaliser 48 qubits logiques avec un code de distance 2, en utilisant seulement deux qubits physiques par qubit logique. C’est absurde : un code de distance 2 ne peut que détecter des erreurs, pas les corriger. Les qubits logiques pour le décryptage doivent être tolérants aux erreurs, donc nécessitent des centaines ou milliers de qubits physiques.

Plus généralement, beaucoup de feuilles de route quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor — qui nécessite des portes T (non-Clifford) et une correction d’erreurs.

Ainsi, même si une feuille de route annonce « X milliers de qubits logiques en année Y », cela ne signifie pas que cette entreprise pourra exécuter Shor pour casser RSA ou ECC à cette date.

Ces pratiques déforment gravement la perception publique (et même celle des professionnels) de la proximité réelle d’un CRQC.

Néanmoins, certains experts restent optimistes. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité du développement hardware, il est « plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur quantique tolérant capable d’exécuter Shor.

Mais il précise que cela ne signifie pas un ordinateur capable de casser la cryptographie : même un Shor à petite échelle, capable de décomposer 15=3×5 — une opération triviale à la main — serait considéré comme une preuve de concept. La norme reste donc une exécution de Shor à une échelle très limitée, pas à une échelle cryptographique significative ; la décomposition de 15 a été réalisée avec un circuit simplifié, pas avec un vrai ordinateur tolérant.

De plus, les expériences quantiques visant à décomposer 15 ne sont pas accidentelles : 15 est un nombre simple pour l’arithmétique modulaire, et décomposer des nombres légèrement plus grands (comme 21) est beaucoup plus difficile. Par conséquent, les expériences prétendant décomposer 21 reposent souvent sur des astuces ou des raccourcis.

En résumé : il n’y a actuellement aucune avancée publique crédible pour une machine capable de casser RSA-2048 ou secp256k1 dans moins de 10 ans. Même 10 ans reste une prévision très optimiste. La distance réelle avec un CRQC est encore très grande, même si l’on reste optimiste quant aux progrès.

Que signifie alors pour le gouvernement américain de fixer 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne constitue pas une prévision selon laquelle un CRQC apparaîtrait d’ici là.

( Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques étant très bruyants, l’algorithme nécessite des qubits logiques ; comme mentionné, Shor requiert plusieurs milliers de qubits logiques. Avec correction d’erreurs, un qubit logique correspond à plusieurs centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, une récente annonce prétendait réaliser 48 qubits logiques avec un code de distance 2, en utilisant seulement deux qubits physiques par qubit logique. C’est absurde : un code de distance 2 ne peut que détecter des erreurs, pas les corriger. Les qubits logiques pour le décryptage doivent être tolérants aux erreurs, donc nécessitent des centaines ou milliers de qubits physiques.

Plus généralement, beaucoup de feuilles de route quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor — qui nécessite des portes T (non-Clifford) et une correction d’erreurs.

Ainsi, même si une feuille de route annonce « X milliers de qubits logiques en année Y », cela ne signifie pas que cette entreprise pourra exécuter Shor pour casser RSA ou ECC à cette date.

Ces pratiques déforment gravement la perception publique (et même celle des professionnels) de la proximité réelle d’un CRQC.

Néanmoins, certains experts restent optimistes. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité du développement hardware, il est « plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur quantique tolérant capable d’exécuter Shor.

Mais il précise que cela ne signifie pas un ordinateur capable de casser la cryptographie : même un Shor à petite échelle, capable de décomposer 15=3×5 — une opération triviale à la main — serait considéré comme une preuve de concept. La norme reste donc une exécution de Shor à une échelle très limitée, pas à une échelle cryptographique significative ; la décomposition de 15 a été réalisée avec un circuit simplifié, pas avec un vrai ordinateur tolérant.

De plus, les expériences quantiques visant à décomposer 15 ne sont pas accidentelles : 15 est un nombre simple pour l’arithmétique modulaire, et décomposer des nombres légèrement plus grands (comme 21) est beaucoup plus difficile. Par conséquent, les expériences prétendant décomposer 21 reposent souvent sur des astuces ou des raccourcis.

En résumé : il n’y a actuellement aucune avancée publique crédible pour une machine capable de casser RSA-2048 ou secp256k1 dans moins de 10 ans. Même 10 ans reste une prévision très optimiste. La distance réelle avec un CRQC est encore très grande, même si l’on reste optimiste quant aux progrès.

Que signifie alors pour le gouvernement américain de fixer 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne constitue pas une prévision selon laquelle un CRQC apparaîtrait d’ici là.

) Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.

Articles similaires

LayerZero engage 10 000 ETH dans DeFi United Recovery

ethereum newsPartenariats & Écosystème

LayerZero a annoncé mardi qu’il s’engageait à allouer 10,000 ETH à l’initiative DeFi United, un effort de redressement lancé à la suite de l’exploit du $292 million de Kelp DAO. D’après l’annonce, le fournisseur d’infrastructure crypto s’engage à verser 5,000 ETH directement à DeFi United et à déposer un

CryptoFrontierIl y a 1h

Les revenus crypto du T1 de Robinhood chutent de 47% d’une année sur l’autre pour atteindre 134 M$

bitcoin newsethereum newsRapport sur l'industrieActions

Les revenus de cryptomonnaies et les volumes de trading de Robinhood ont diminué d’environ 47 % et 48 % d’une année sur l’autre, respectivement, au cours du premier trimestre 2026, selon le rapport de résultats de l’entreprise publié mardi. L’application de trading populaire basée aux États-Unis a déclaré des revenus de cryptomonnaies de $134 milli

CryptoFrontierIl y a 2h

Le Bitcoin passe sous 76 000 $ alors que les traders réduisent le risque avant la décision de la Réserve fédérale

bitcoin newsethereum newsAnalyse du marchéVolatilité des prixMacroéconomiePolitique monétaireDonnées on-chain

Message de Gate News, 28 avril — Le Bitcoin est passé sous 76 000 $ mardi alors que les traders réduisaient leur exposition avant la décision de politique monétaire de la Réserve fédérale, prévue mercredi, déclenchant un repli généralisé du marché sur les principaux actifs numériques. La capitalisation totale du marché des crypto-monnaies a reculé d’environ 1,8 % pour s’établir à environ $

GateNewsIl y a 4h

Le réseau Ethereum s’approche de 190M d’utilisateurs alors que Santiment rend compte de la croissance de l’écosystème crypto

ethereum newsDonnées on-chain

Message des Gate News, 28 avril — Selon Santiment, une plateforme d’analyse de cryptomonnaies, le réseau Ethereum s’approche pour la première fois de l’histoire de 190 millions d’utilisateurs, marquant une étape importante dans l’adoption de la blockchain. Bitcoin (BTC) suit avec environ 60 millions

GateNewsIl y a 4h

Les ETF Bitcoin enregistrent 202,41 M$ de sortie quotidienne, les ETF Ethereum et Solana affichent aussi des retraits nets

bitcoin newsethereum newssolana newsFlux de capitauxDonnées on-chainActions

Message de Gate News, selon la mise à jour du 28 avril, les ETF Bitcoin ont enregistré une sortie nette sur une journée de 2 663 BTC (d’une valeur de 202,41 millions de dollars), tandis que le flux net sur 7 jours a affiché une entrée de 3 725 BTC (d’une valeur de 283,18 millions de dollars). Les ETF Ethereum ont vu une sortie nette sur une journée de 27 316 ETH (d’une valeur de 62,23 millions de dollars

GateNewsIl y a 6h
Commentaire
0/400
Aucun commentaire