«À quand l’arrivée des ordinateurs quantiques constituant une menace réelle pour la cryptographie ? Dans quels scénarios s’appliquent les attaques HNDL ? Quels défis uniques le Bitcoin doit-il relever ? a16z analyse en profondeur l’impact réel de la menace quantique sur la blockchain et les stratégies d’adaptation. Cet article est issu d’un texte de a16z, organisé, traduit et rédigé par Wu Say Blockchain.
(Précédent : Analyse approfondie : Ne craignons-nous pas trop la menace de sécurité cryptographique posée par les ordinateurs quantiques ?)
(Complément d’information : a16z : Aperçu des 17 grandes tendances potentielles dans le domaine de la cryptographie d’ici 2026)

Table des matières

• Où en sommes-nous dans le calendrier actuel ?
• Dans quels scénarios les attaques HNDL sont-elles applicables (et dans quels scénarios ne le sont-elles pas) ?
• Qu’est-ce que cela signifie pour la blockchain
• Défis spécifiques du Bitcoin : mécanismes de gouvernance + monnaies abandonnées
• Coûts et risques des signatures post-quantiques
• Défis uniques de la blockchain vs infrastructure réseau
• Problème plus urgent actuellement : sécurité de l’implémentation
• Que devons-nous faire ? Sept recommandations
  • 1. Déployer immédiatement un cryptage hybride
  • 2. Utiliser immédiatement la signature par hachage dans les scénarios tolérant de grandes tailles de signatures
  • 3. La blockchain n’a pas besoin d’un déploiement précipité des signatures post-quantiques — mais doit commencer à planifier dès maintenant
  • 4. Pour les chaînes privées, dès que la performance le permet, privilégier la migration
  • 5. Prioriser la sécurité de l’implémentation à court terme — plutôt que l’atténuation de la menace quantique
  • 6. Soutenir le développement de l’informatique quantique
  • 7. Maintenir une perspective correcte sur les annonces liées à l’informatique quantique

Concernant « quand arrivera l’ordinateur quantique capable de constituer une menace réelle pour le système cryptographique actuel », on observe souvent des prévisions exagérées — ce qui alimente les appels à une migration immédiate et massive vers des systèmes post-quantiques.

Mais ces appels ignorent souvent le coût et le risque d’une migration prématurée, ainsi que le fait que les risques varient considérablement selon la primitive cryptographique concernée :

Même si le coût de la cryptographie post-quantique est élevé, il faut la déployer immédiatement : l’attaque « récolter maintenant, déchiffrer plus tard » (Harvest-now-decrypt-later, HNDL) est déjà en cours, car lorsque l’ordinateur quantique arrivera réellement — même dans plusieurs décennies — les données sensibles protégées aujourd’hui par cryptographie resteront précieuses. Bien que la cryptographie post-quantique impose des coûts de performance et des risques d’implémentation, pour les données à long terme, l’attaque HNDL n’a pas d’alternative.

Les signatures post-quantiques, quant à elles, sont tout à fait différentes. Elles ne sont pas affectées par l’attaque HNDL, mais leur coût et leurs risques (tailles plus grandes, consommation accrue, implémentation encore immature, vulnérabilités potentielles) impliquent que leur migration doit être menée avec prudence, pas immédiatement.

Ces distinctions sont cruciales. Toute confusion peut fausser l’analyse coûts-bénéfices, en faisant passer sous silence des risques de sécurité plus fondamentaux — comme l’existence même de vulnérabilités.

Le vrai défi pour une transition réussie vers un système cryptographique post-quantique est d’aligner « urgence » et « menace réelle ». Ci-dessous, je vais clarifier les idées reçues courantes sur la menace quantique et ses implications pour la cryptographie — y compris le chiffrement, la signature et la preuve à divulgation zéro — en mettant particulièrement l’accent sur leur impact sur la blockchain.

Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques étant très bruyants, l’algorithme nécessite des qubits logiques ; comme mentionné, Shor requiert plusieurs milliers de qubits logiques. Avec correction d’erreurs, un qubit logique correspond à plusieurs centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, une récente annonce prétendait réaliser 48 qubits logiques avec un code de distance 2, en utilisant seulement deux qubits physiques par qubit logique. C’est absurde : un code de distance 2 ne peut que détecter des erreurs, pas les corriger. Les qubits logiques pour le décryptage doivent être tolérants aux erreurs, donc nécessitent des centaines ou milliers de qubits physiques.

Plus généralement, beaucoup de feuilles de route quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor — qui nécessite des portes T (non-Clifford) et une correction d’erreurs.

Ainsi, même si une feuille de route annonce « X milliers de qubits logiques en année Y », cela ne signifie pas que cette entreprise pourra exécuter Shor pour casser RSA ou ECC à cette date.

Ces pratiques déforment gravement la perception publique (et même celle des professionnels) de la proximité réelle d’un CRQC.

Néanmoins, certains experts restent optimistes. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité du développement hardware, il est « plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur quantique tolérant capable d’exécuter Shor.

Mais il précise que cela ne signifie pas un ordinateur capable de casser la cryptographie : même un Shor à petite échelle, capable de décomposer 15=3×5 — une opération triviale à la main — serait considéré comme une preuve de concept. La norme reste donc une exécution de Shor à une échelle très limitée, pas à une échelle cryptographique significative ; la décomposition de 15 a été réalisée avec un circuit simplifié, pas avec un vrai ordinateur tolérant.

De plus, les expériences quantiques visant à décomposer 15 ne sont pas accidentelles : 15 est un nombre simple pour l’arithmétique modulaire, et décomposer des nombres légèrement plus grands (comme 21) est beaucoup plus difficile. Par conséquent, les expériences prétendant décomposer 21 reposent souvent sur des astuces ou des raccourcis.

En résumé : il n’y a actuellement aucune avancée publique crédible pour une machine capable de casser RSA-2048 ou secp256k1 dans moins de 10 ans. Même 10 ans reste une prévision très optimiste. La distance réelle avec un CRQC est encore très grande, même si l’on reste optimiste quant aux progrès.

Que signifie alors pour le gouvernement américain de fixer 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne constitue pas une prévision selon laquelle un CRQC apparaîtrait d’ici là.

Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques étant très bruyants, l’algorithme nécessite des qubits logiques ; comme mentionné, Shor requiert plusieurs milliers de qubits logiques. Avec correction d’erreurs, un qubit logique correspond à plusieurs centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, une récente annonce prétendait réaliser 48 qubits logiques avec un code de distance 2, en utilisant seulement deux qubits physiques par qubit logique. C’est absurde : un code de distance 2 ne peut que détecter des erreurs, pas les corriger. Les qubits logiques pour le décryptage doivent être tolérants aux erreurs, donc nécessitent des centaines ou milliers de qubits physiques.

Plus généralement, beaucoup de feuilles de route quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor — qui nécessite des portes T (non-Clifford) et une correction d’erreurs.

Ainsi, même si une feuille de route annonce « X milliers de qubits logiques en année Y », cela ne signifie pas que cette entreprise pourra exécuter Shor pour casser RSA ou ECC à cette date.

Ces pratiques déforment gravement la perception publique (et même celle des professionnels) de la proximité réelle d’un CRQC.

Néanmoins, certains experts restent optimistes. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité du développement hardware, il est « plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur quantique tolérant capable d’exécuter Shor.

Mais il précise que cela ne signifie pas un ordinateur capable de casser la cryptographie : même un Shor à petite échelle, capable de décomposer 15=3×5 — une opération triviale à la main — serait considéré comme une preuve de concept. La norme reste donc une exécution de Shor à une échelle très limitée, pas à une échelle cryptographique significative ; la décomposition de 15 a été réalisée avec un circuit simplifié, pas avec un vrai ordinateur tolérant.

De plus, les expériences quantiques visant à décomposer 15 ne sont pas accidentelles : 15 est un nombre simple pour l’arithmétique modulaire, et décomposer des nombres légèrement plus grands (comme 21) est beaucoup plus difficile. Par conséquent, les expériences prétendant décomposer 21 reposent souvent sur des astuces ou des raccourcis.

En résumé : il n’y a actuellement aucune avancée publique crédible pour une machine capable de casser RSA-2048 ou secp256k1 dans moins de 10 ans. Même 10 ans reste une prévision très optimiste. La distance réelle avec un CRQC est encore très grande, même si l’on reste optimiste quant aux progrès.

Que signifie alors pour le gouvernement américain de fixer 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne constitue pas une prévision selon laquelle un CRQC apparaîtrait d’ici là.

Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques étant très bruyants, l’algorithme nécessite des qubits logiques ; comme mentionné, Shor requiert plusieurs milliers de qubits logiques. Avec correction d’erreurs, un qubit logique correspond à plusieurs centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, une récente annonce prétendait réaliser 48 qubits logiques avec un code de distance 2, en utilisant seulement deux qubits physiques par qubit logique. C’est absurde : un code de distance 2 ne peut que détecter des erreurs, pas les corriger. Les qubits logiques pour le décryptage doivent être tolérants aux erreurs, donc nécessitent des centaines ou milliers de qubits physiques.

Plus généralement, beaucoup de feuilles de route quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor — qui nécessite des portes T (non-Clifford) et une correction d’erreurs.

Ainsi, même si une feuille de route annonce « X milliers de qubits logiques en année Y », cela ne signifie pas que cette entreprise pourra exécuter Shor pour casser RSA ou ECC à cette date.

Ces pratiques déforment gravement la perception publique (et même celle des professionnels) de la proximité réelle d’un CRQC.

Néanmoins, certains experts restent optimistes. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité du développement hardware, il est « plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur quantique tolérant capable d’exécuter Shor.

Mais il précise que cela ne signifie pas un ordinateur capable de casser la cryptographie : même un Shor à petite échelle, capable de décomposer 15=3×5 — une opération triviale à la main — serait considéré comme une preuve de concept. La norme reste donc une exécution de Shor à une échelle très limitée, pas à une échelle cryptographique significative ; la décomposition de 15 a été réalisée avec un circuit simplifié, pas avec un vrai ordinateur tolérant.

De plus, les expériences quantiques visant à décomposer 15 ne sont pas accidentelles : 15 est un nombre simple pour l’arithmétique modulaire, et décomposer des nombres légèrement plus grands (comme 21) est beaucoup plus difficile. Par conséquent, les expériences prétendant décomposer 21 reposent souvent sur des astuces ou des raccourcis.

En résumé : il n’y a actuellement aucune avancée publique crédible pour une machine capable de casser RSA-2048 ou secp256k1 dans moins de 10 ans. Même 10 ans reste une prévision très optimiste. La distance réelle avec un CRQC est encore très grande, même si l’on reste optimiste quant aux progrès.

Que signifie alors pour le gouvernement américain de fixer 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne constitue pas une prévision selon laquelle un CRQC apparaîtrait d’ici là.

Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques étant très bruyants, l’algorithme nécessite des qubits logiques ; comme mentionné, Shor requiert plusieurs milliers de qubits logiques. Avec correction d’erreurs, un qubit logique correspond à plusieurs centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, une récente annonce prétendait réaliser 48 qubits logiques avec un code de distance 2, en utilisant seulement deux qubits physiques par qubit logique. C’est absurde : un code de distance 2 ne peut que détecter des erreurs, pas les corriger. Les qubits logiques pour le décryptage doivent être tolérants aux erreurs, donc nécessitent des centaines ou milliers de qubits physiques.

Plus généralement, beaucoup de feuilles de route quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor — qui nécessite des portes T (non-Clifford) et une correction d’erreurs.

Ainsi, même si une feuille de route annonce « X milliers de qubits logiques en année Y », cela ne signifie pas que cette entreprise pourra exécuter Shor pour casser RSA ou ECC à cette date.

Ces pratiques déforment gravement la perception publique (et même celle des professionnels) de la proximité réelle d’un CRQC.

Néanmoins, certains experts restent optimistes. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité du développement hardware, il est « plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur quantique tolérant capable d’exécuter Shor.

Mais il précise que cela ne signifie pas un ordinateur capable de casser la cryptographie : même un Shor à petite échelle, capable de décomposer 15=3×5 — une opération triviale à la main — serait considéré comme une preuve de concept. La norme reste donc une exécution de Shor à une échelle très limitée, pas à une échelle cryptographique significative ; la décomposition de 15 a été réalisée avec un circuit simplifié, pas avec un vrai ordinateur tolérant.

De plus, les expériences quantiques visant à décomposer 15 ne sont pas accidentelles : 15 est un nombre simple pour l’arithmétique modulaire, et décomposer des nombres légèrement plus grands (comme 21) est beaucoup plus difficile. Par conséquent, les expériences prétendant décomposer 21 reposent souvent sur des astuces ou des raccourcis.

En résumé : il n’y a actuellement aucune avancée publique crédible pour une machine capable de casser RSA-2048 ou secp256k1 dans moins de 10 ans. Même 10 ans reste une prévision très optimiste. La distance réelle avec un CRQC est encore très grande, même si l’on reste optimiste quant aux progrès.

Que signifie alors pour le gouvernement américain de fixer 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne constitue pas une prévision selon laquelle un CRQC apparaîtrait d’ici là.

( Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques étant très bruyants, l’algorithme nécessite des qubits logiques ; comme mentionné, Shor requiert plusieurs milliers de qubits logiques. Avec correction d’erreurs, un qubit logique correspond à plusieurs centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, une récente annonce prétendait réaliser 48 qubits logiques avec un code de distance 2, en utilisant seulement deux qubits physiques par qubit logique. C’est absurde : un code de distance 2 ne peut que détecter des erreurs, pas les corriger. Les qubits logiques pour le décryptage doivent être tolérants aux erreurs, donc nécessitent des centaines ou milliers de qubits physiques.

Plus généralement, beaucoup de feuilles de route quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor — qui nécessite des portes T (non-Clifford) et une correction d’erreurs.

Ainsi, même si une feuille de route annonce « X milliers de qubits logiques en année Y », cela ne signifie pas que cette entreprise pourra exécuter Shor pour casser RSA ou ECC à cette date.

Ces pratiques déforment gravement la perception publique (et même celle des professionnels) de la proximité réelle d’un CRQC.

Néanmoins, certains experts restent optimistes. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité du développement hardware, il est « plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur quantique tolérant capable d’exécuter Shor.

Mais il précise que cela ne signifie pas un ordinateur capable de casser la cryptographie : même un Shor à petite échelle, capable de décomposer 15=3×5 — une opération triviale à la main — serait considéré comme une preuve de concept. La norme reste donc une exécution de Shor à une échelle très limitée, pas à une échelle cryptographique significative ; la décomposition de 15 a été réalisée avec un circuit simplifié, pas avec un vrai ordinateur tolérant.

De plus, les expériences quantiques visant à décomposer 15 ne sont pas accidentelles : 15 est un nombre simple pour l’arithmétique modulaire, et décomposer des nombres légèrement plus grands (comme 21) est beaucoup plus difficile. Par conséquent, les expériences prétendant décomposer 21 reposent souvent sur des astuces ou des raccourcis.

En résumé : il n’y a actuellement aucune avancée publique crédible pour une machine capable de casser RSA-2048 ou secp256k1 dans moins de 10 ans. Même 10 ans reste une prévision très optimiste. La distance réelle avec un CRQC est encore très grande, même si l’on reste optimiste quant aux progrès.

Que signifie alors pour le gouvernement américain de fixer 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne constitue pas une prévision selon laquelle un CRQC apparaîtrait d’ici là.

) Où en sommes-nous dans le calendrier actuel ?

En ce qui concerne la possibilité d’un « ordinateur quantique constituant une menace réelle pour la cryptographie » (CRQC) dans la décennie 2020, cette probabilité est très faible, malgré quelques déclarations tonitruantes qui ont suscité l’attention.

ps : dans la suite, « ordinateur quantique constituant une menace réelle pour la cryptographie / cryptographically relevant quantum computer » sera abrégé en CRQC.

Ce que l’on entend par « ordinateur quantique constituant une menace réelle pour la cryptographie », c’est un ordinateur tolérant aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie elliptique ou RSA (par exemple, casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu).

Selon les évaluations publiques des jalons et des ressources disponibles, nous sommes encore très loin de cette étape. Bien que certaines entreprises annoncent que CRQC pourrait apparaître avant 2030, voire 2035, aucune avancée visible ne supporte ces prévisions.

D’un point de vue technique, aucun des systèmes actuels — ion-trap, supraconducteurs ou atomes neutres — ne s’approche du nombre de qubits physiques (de dizaines de milliers à plusieurs millions) nécessaires pour exécuter Shor sur RSA-2048 ou secp256k1 dans un délai raisonnable.

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, leur nombre seul est trompeur : ils manquent de connectivité et de fidélité pour exécuter des calculs cryptographiques.

Les systèmes récents approchent des seuils physiques permettant la correction d’erreurs quantiques, mais aucun n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et surtout pas des milliers de qubits logiques, hautement fidèles, tolérants aux erreurs, nécessaires pour exécuter Shor.

En résumé : sauf amélioration de plusieurs ordres de grandeur du nombre et de la fidélité des qubits, un ordinateur quantique constituant une menace réelle pour la cryptographie reste hors de portée.

Cependant, la communication d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

Affirmation de démonstrations de « quantum advantage » — qui concernent souvent des problèmes artificiels, choisis pour leur compatibilité avec le hardware actuel, et qui donnent une impression de gain quantique significatif, souvent exagérée dans la communication.

Annonces de plusieurs milliers de qubits physiques — qui concernent généralement des machines d’optimisation quantique (quantum annealing), pas des ordinateurs universels capables d’exécuter Shor.

Utilisation imprudente du terme « qubits logiques » — les qubits physiques