Les ordinateurs quantiques capables de casser la blockchain Bitcoin n’existent pas aujourd’hui. Les développeurs, toutefois, envisagent déjà une vague de mises à niveau afin de construire des défenses contre la menace potentielle, et à juste titre, car cette menace n’est désormais plus hypothétique.
Cette semaine, Google a publié des recherches suggérant qu’un ordinateur quantique suffisamment puissant pourrait déchiffrer la cryptographie centrale de Bitcoin en moins de neuf minutes — une minute plus rapide que le temps moyen de règlement d’un bloc Bitcoin. Certains analystes pensent qu’une telle menace pourrait devenir une réalité d’ici 2029.
Les enjeux sont élevés : environ 6,5 millions de jetons bitcoin, d’une valeur de centaines de milliards de dollars, se trouvent dans des adresses qu’un ordinateur quantique pourrait cibler directement. Une partie de ces pièces appartient au créateur pseudonyme de Bitcoin, Satoshi Nakamoto. En outre, la compromission potentielle endommagerait les principes fondamentaux de Bitcoin — « faire confiance au code » et « une monnaie solide ».
Voici à quoi ressemble la menace, ainsi que des propositions actuellement envisagées pour l’atténuer.
Deux façons pour une machine quantique d’attaquer Bitcoin
Commençons d’abord par comprendre la vulnérabilité avant de discuter des propositions.
La sécurité de Bitcoin repose sur une relation mathématique à sens unique. Lorsque vous créez un portefeuille, une clé privée et un nombre secret sont générés, à partir desquels une clé publique est dérivée.
Pour dépenser des jetons bitcoin, il faut prouver qu’on en est le propriétaire, en ne la dévoilant pas, mais en l’utilisant pour générer une signature cryptographique que le réseau peut vérifier.
Ce système est infaillible parce que les ordinateurs modernes mettraient des milliards d’années à casser la cryptographie des courbes elliptiques — plus précisément l’algorithme de signature numérique à courbe elliptique (ECDSA) — afin de remonter à la clé privée à partir de la clé publique. Ainsi, on dit que la blockchain est impossible à compromettre sur le plan computationnel.
Mais un futur ordinateur quantique peut transformer cette voie à sens unique en voie à double sens en dérivant votre clé privée depuis la clé publique et en vidant vos pièces.
La clé publique est exposée de deux façons : à partir de pièces laissées au repos sur la blockchain (l’attaque à longue exposition) ou de pièces en mouvement ou de transactions en attente dans le pool de mémoire (attaque à courte exposition).
Les adresses Pay-to-public key (P2PK) (utilisées par Satoshi et les mineurs initiaux) et Taproot (P2TR), le format d’adresse actuel activé en 2021, sont vulnérables à l’attaque à longue exposition. Les pièces dans ces adresses n’ont pas besoin de bouger pour révéler leurs clés publiques ; l’exposition a déjà eu lieu et est lisible par n’importe qui sur Terre, y compris par un attaquant quantique futur. Environ 1,7 million de BTC est détenu dans d’anciennes adresses P2PK — y compris les pièces de Satoshi.
La courte exposition est liée au mempool — la salle d’attente des transactions non confirmées. Pendant que les transactions y attendent d’être incluses dans un bloc, votre clé publique et votre signature sont visibles par l’ensemble du réseau.
Un ordinateur quantique pourrait accéder à ces données, mais il n’aurait qu’une fenêtre très brève — avant que la transaction soit confirmée et enfouie sous des blocs supplémentaires — pour dériver la clé privée correspondante et agir en conséquence.
Initiatives
BIP 360 : Suppression de la clé publique
Comme indiqué plus tôt, chaque nouvelle adresse Bitcoin créée aujourd’hui avec Taproot expose de façon permanente une clé publique onchain, offrant à un ordinateur quantique futur une cible qui ne disparaît jamais.
La proposition d’amélioration Bitcoin (BIP) 360 supprime la clé publique définitivement intégrée onchain et visible de tous en introduisant un nouveau type de sortie appelé Pay-to-Merkle-Root (P2MR).
Rappelons qu’un ordinateur quantique étudie la clé publique, reconstruit l’exacte forme de la clé privée et fabrique une copie opérationnelle. Si nous supprimons la clé publique, l’attaque n’a plus rien sur quoi s’appuyer. En attendant, tout le reste, y compris les paiements Lightning, les configurations multi-signatures et d’autres fonctionnalités de Bitcoin, reste identique.
Toutefois, si elle est mise en œuvre, cette proposition ne protège que les nouvelles pièces à l’avenir. Les 1,7 million de BTC déjà stockés dans d’anciennes adresses exposées constituent un problème distinct, traité par d’autres propositions ci-dessous.
SPHINCS+ / SLH-DSA : Signatures post-quantiques basées sur le hachage
SPHINCS+ est un schéma de signature post-quantique construit sur des fonctions de hachage, en évitant les risques quantiques auxquels fait face la cryptographie des courbes elliptiques utilisée par Bitcoin. Alors que l’algorithme de Shor menace l’ECDSA, des conceptions basées sur le hachage comme SPHINCS+ ne sont pas considérées comme étant aussi vulnérables.
Le schéma a été standardisé par le National Institute of Standards and Technology (NIST) en août 2024 en tant que FIPS 205 (SLH-DSA), après des années d’examen public.
Le compromis pour la sécurité est la taille. Alors que les signatures bitcoin actuelles font 64 octets, SLH-DSA fait 8 kilooctets (KB) ou plus. Ainsi, l’adoption de SLH-DSA augmenterait fortement les exigences d’espace de bloc et ferait grimper les frais de transaction.
En conséquence, des propositions telles que SHRIMPS (un autre schéma de signature post-quantique basé sur le hachage) et SHRINCS ont déjà été introduites afin de réduire la taille des signatures sans compromettre la sécurité post-quantique. Les deux s’appuient sur SHPINCS+ tout en visant à conserver ses garanties de sécurité sous une forme plus pratique et économe en espace adaptée à l’utilisation dans la blockchain.
Schéma Commit/Reveal de Tadge Dryja : un frein d’urgence pour le mempool
Cette proposition, un soft fork suggéré par le co-créateur de Lightning Network Tadge Dryja, vise à protéger les transactions dans le mempool contre un attaquant quantique futur. Elle le fait en séparant l’exécution des transactions en deux phases : Commit et Reveal.
Imaginez informer un partenaire que vous allez lui envoyer un email, puis envoyer réellement un email. La première étape est la phase de commit, et la seconde est la phase de révélation.
Sur la blockchain, cela signifie que vous publiez d’abord une empreinte digitale scellée de votre intention — simplement un hachage, qui ne révèle rien sur la transaction. La blockchain enregistre définitivement ce sceau horaire pour cette empreinte. Plus tard, lorsque vous diffusez la transaction réelle, votre clé publique devient visible — et oui, un ordinateur quantique observant le réseau pourrait en déduire votre clé privée et forger une transaction concurrente pour voler vos fonds.
Mais cette transaction forgée est immédiatement rejetée. Le réseau vérifie : cette dépense a-t-elle un engagement préalable enregistré onchain ? Le vôtre oui. Celui de l’attaquant non — ils l’ont créé à l’instant. Votre empreinte pré-enregistrée est votre alibi.
Le problème, toutefois, est le coût accru dû au fait que la transaction est scindée en deux phases. C’est pourquoi on la décrit comme un pont intérimaire, pratique à déployer pendant que la communauté travaille à construire des défenses contre le quantique.
Hourglass V2 : ralentir la dépense des anciennes pièces
Proposée par le développeur Hunter Beast, Hourglass V2 cible la vulnérabilité quantique liée à environ 1,7 million de BTC détenus dans des adresses plus anciennes déjà exposées.
La proposition accepte que ces pièces pourraient être volées lors d’une attaque quantique future et cherche à ralentir l’hémorragie en limitant les ventes à un bitcoin par bloc, afin d’éviter une liquidation massive catastrophique sur la nuit qui pourrait faire chuter le marché.
L’analogie est une ruée bancaire : vous ne pouvez pas empêcher les gens de retirer de l’argent, mais vous pouvez limiter la cadence des retraits pour empêcher le système de s’effondrer en une nuit. La proposition est controversée parce que, même cette restriction limitée, est vue par certains au sein de la communauté Bitcoin comme une violation du principe selon lequel aucune partie externe ne peut jamais interférer avec votre droit de dépenser vos pièces.
Conclusion
Ces propositions ne sont pas encore activées, et la gouvernance décentralisée de Bitcoin, qui implique développeurs, mineurs et opérateurs de nœuds, signifie que toute mise à niveau mettra probablement du temps à se matérialiser.
Néanmoins, le flux régulier de propositions en amont du rapport de Google de cette semaine suggère que le problème est depuis longtemps dans le radar des développeurs, ce qui pourrait contribuer à apaiser les inquiétudes du marché.
