Un ordinateur quantique suffisamment puissant pour briser la blockchain Bitcoin n’existe pas encore. Toutefois, les développeurs ont déjà commencé à discuter d’une nouvelle vague de mises à niveau afin de mettre en place une couche de défense face à cette menace potentielle — et c’est tout à fait plausible, car ce risque n’est désormais plus une simple hypothèse.
Cette semaine, des chercheurs de Google ont publié une étude montrant qu’un ordinateur quantique assez puissant pourrait casser le chiffrement central de Bitcoin en moins de 9 minutes — soit 1 minute de moins que le temps de confirmation moyen d’un bloc Bitcoin. Certains analystes estiment qu’une menace de ce type pourrait devenir une réalité en 2029.
Le risque est énorme : environ 6,5 millions de bitcoins, d’une valeur se chiffrant en centaines de milliards de dollars, se trouvent dans des adresses que l’ordinateur quantique pourrait cibler directement. Une partie d’entre elles appartient à Satoshi Nakamoto, le fondateur anonyme de Bitcoin. En outre, si cela est compromis, cela porterait atteinte aux principes fondamentaux de Bitcoin — « faites confiance au code » et « une monnaie saine ».
Voici comment cette menace fonctionne, ainsi que les propositions actuellement envisagées pour la réduire.
Deux façons pour une machine quantique d’attaquer Bitcoin
Tout d’abord, comprenez la faille avant de parler des propositions.
La sécurité de Bitcoin repose sur une relation mathématique à sens unique. Lorsque vous créez un portefeuille, une clé privée et un ensemble de secrets sont générés, à partir desquels on déduit la clé publique.
Pour dépenser des bitcoins, vous devez prouver que vous possédez la clé privée — non pas en la révélant, mais en l’utilisant pour produire une signature cryptographique que le réseau peut vérifier.
Ce système est sûr parce que les ordinateurs modernes auraient besoin de milliards d’années pour casser le chiffrement de courbes elliptiques — en particulier l’algorithme de signature numérique de courbes elliptiques (ECDSA) — afin d’en déduire la clé privée à partir de la clé publique. Ainsi, la blockchain est considérée comme quasi impossible à compromettre d’un point de vue computationnel.
Mais, dans le futur, un ordinateur quantique pourrait transformer ce chemin à sens unique en un processus bidirectionnel, en déduisant la clé privée à partir de la clé publique, puis en vidant vos fonds.
Les clés publiques sont exposées de deux façons : à partir des coins restés immobiles sur la chaîne (attaque d’exposition à long terme) ou des coins en mouvement, ou des transactions en attente dans le mempool des transactions (attaque d’exposition à court terme).
Les adresses Pay-to-Public-Key (P2PK) — utilisées par Satoshi et les premiers mineurs — ainsi que Taproot (P2TR), le format d’adresse actuel activé en 2021, sont toutes deux vulnérables face à ce type d’attaque d’exposition à long terme. Les coins dans ces adresses n’ont pas besoin d’être déplacés pour que la clé publique soit exposée ; l’exposition a déjà eu lieu et n’importe qui dans le monde peut la lire, y compris un attaquant quantique dans le futur. Environ 1,7 million de BTC se trouvent dans d’anciennes adresses P2PK — y compris les coins de Satoshi.
L’attaque d’exposition à court terme concerne le mempool — le « hall d’attente » des transactions non encore confirmées. Pendant que la transaction y attend d’être incluse dans un bloc, votre clé publique et votre signature sont toutes deux visibles par l’ensemble du réseau.
Un ordinateur quantique pourrait accéder à ces données, mais il n’a qu’un très court laps de temps — avant que la transaction soit confirmée et enterrée sous les blocs suivants — pour déduire la clé privée correspondante et agir.
Les initiatives
BIP 360 : Supprimer la clé publique
Comme indiqué plus haut, toutes les nouvelles adresses Bitcoin créées aujourd’hui avec Taproot exposent de façon permanente la clé publique on-chain, offrant à l’ordinateur quantique futur une cible qui ne disparaît jamais.
La proposition d’amélioration de Bitcoin (BIP) 360 supprime la clé publique embarquée de manière permanente on-chain et la rend visible à tous en introduisant un nouveau type de sortie appelé Pay-to-Merkle-Root (P2MR).
Gardez à l’esprit que l’ordinateur quantique va étudier la clé publique, inverser la forme exacte de la clé privée et produire une copie fonctionnelle. Si nous supprimons la clé publique, l’attaquant n’a plus rien sur quoi s’appuyer. Pendant ce temps, tout le reste, y compris les paiements Lightning, la configuration multi-signature et les autres fonctionnalités de Bitcoin, reste inchangé.
Toutefois, si elle est déployée, cette proposition ne protégerait que les coins nouveaux à l’avenir. Le problème que représentent 1,7 million de BTC actuellement détenus dans des adresses déjà exposées va être traité par d’autres propositions ci-dessous.
SPHINCS+ / SLH-DSA : des signatures post-quantiques basées sur le hachage
SPHINCS+ est un mécanisme de signature post-quantique construit sur des fonctions de hachage, qui permet d’éviter les risques quantiques auxquels le chiffrement des courbes elliptiques actuellement utilisé par Bitcoin est confronté. Alors que l’algorithme de Shor menace l’ECDSA, les conceptions basées sur le hachage comme SPHINCS+ ne sont pas considérées comme vulnérables de la même manière.
Ce schéma a été normalisé par le National Institute of Standards and Technology (NIST) en août 2024 sous le nom FIPS 205 (SLH-DSA), après plusieurs années d’examen public.
En échange d’une couche de sécurité plus élevée, il y a un coût : la taille. Alors que les signatures Bitcoin actuelles ne font que 64 octets, les signatures SLH-DSA font 8 kilooctets (KB) ou plus. Ainsi, si l’on applique SLH-DSA, les besoins d’espace de bloc augmenteraient fortement et les frais de transaction seraient également plus élevés.
C’est pourquoi des propositions comme SHRIMPS (un autre schéma de signature post-quantique basé sur le hachage) et SHRINCS ont été introduites afin de réduire la taille des signatures sans sacrifier la sécurité post-quantique. Les deux reposent sur SPHINCS+, mais visent à conserver ses garanties de sécurité d’une manière plus pratique, en utilisant moins d’espace pour la blockchain.
Le système Commit/Reveal de Tadge Dryja : un frein d’urgence pour le mempool
Cette proposition, un soft fork proposé par le cofondateur de Lightning Network Tadge Dryja, vise à protéger les transactions du mempool contre un attaquant quantique futur. Elle y parvient en séparant l’exécution d’une transaction en deux étapes : Commit et Reveal.
Imaginez que vous disiez à votre partenaire que vous allez lui envoyer un e-mail, puis que vous envoyiez effectivement l’e-mail. La première phrase correspond à l’étape commit, et l’action d’envoyer l’e-mail correspond à l’étape reveal.
Sur la blockchain, cela signifie qu’au préalable, vous publiez d’abord une empreinte scellée de votre intention — seulement un hachage, sans révéler quoi que ce soit sur la transaction. La blockchain apposera un horodatage de façon permanente sur cette empreinte. Ensuite, lorsque vous émettez la transaction réelle, la clé publique se dévoile — et, oui, une machine quantique qui surveille le réseau peut en déduire la clé privée et créer une transaction concurrente pour voler vos fonds.
Mais cette transaction frauduleuse sera refusée immédiatement. Vérification du réseau : cette transaction de dépense a-t-elle déjà un engagement antérieur consigné on-chain ? Votre transaction l’a. Celle de l’attaquant ne l’a pas : il vient de la créer il y a quelques minutes. L’empreinte enregistrée au préalable est la preuve de votre alibi.
Le problème, c’est que les coûts augmenteront, car la transaction est divisée en deux étapes. C’est pourquoi elle est considérée comme un pont intermédiaire, suffisamment pratique pour être déployée pendant que la communauté continue de construire des mesures de défense quantique.
Hourglass V2 : ralentir la vente des anciennes pièces
Proposée par le développeur Hunter Beast, Hourglass V2 vise une faille quantique liée à environ 1,7 million de BTC se trouvant dans de vieilles adresses, qui ont été exposées publiquement.
La proposition reconnaît que ces coins pourraient être volés dans une attaque quantique future et cherche à ralentir le processus de fuite en limitant la vente à un bitcoin par bloc, afin d’éviter qu’une vague de liquidation massive, survenant d’un seul coup pendant la nuit, ne fasse s’effondrer le marché.
Un exemple similaire est celui d’un retrait massif : vous ne pouvez pas empêcher tout le monde de retirer, mais vous pouvez limiter le rythme de retrait pour que le système ne s’effondre pas en une nuit. La proposition est controversée, car même cette restriction minimale est considérée par certains dans la communauté Bitcoin comme une violation de la règle selon laquelle personne n’a le droit d’interférer avec votre droit de dépenser vos coins.
Conclusion
Ces propositions ne sont pas encore activées, et le mécanisme de gouvernance décentralisée de Bitcoin — incluant les développeurs, les mineurs et les opérateurs de nœuds — signifie que toute mise à niveau aura besoin de temps pour devenir une réalité.
Cela dit, la vague de propositions qui apparaît régulièrement avant le rapport de Google de cette semaine montre que le problème est dans le radar des développeurs depuis longtemps, ce qui pourrait contribuer à apaiser les inquiétudes du marché.
