Période de danger des ordinateurs quantiques : quand menacent-ils réellement la sécurité cryptographique ?

Quand la puissance de calcul quantique pourra-t-elle casser le chiffrement ? La réponse à cette question est souvent déformée par la communication des entreprises et les médias. Des démonstrations emblématiques de sociétés technologiques aux plans politiques gouvernementaux, la chronologie de la menace quantique est constamment exagérée, alimentant des appels urgents à une transition immédiate vers la cryptographie post-quantique. Mais ces discours ignorent souvent une réalité cruciale : la nature de la menace quantique diffère radicalement selon les outils cryptographiques, et agir trop tôt pourrait coûter bien plus cher que de retarder l’action.

Selon une analyse approfondie de Justin Thaler, associé chez a16z, il faut adopter une approche rationnelle face à cette discussion sur l’“ordinateur dangereux” — tous les outils cryptographiques ne sont pas également menacés dans l’immédiat.

La véritable menace des ordinateurs quantiques : la vérité derrière la décomposition des données

Concernant la chronologie de la rupture du chiffrement par calcul quantique, de nombreuses prévisions contradictoires circulent. Certaines entreprises prétendent pouvoir y parvenir dès 2030 ou 2035, mais en examinant les détails techniques, un écart énorme apparaît entre ces promesses et les progrès réels.

Les “ordinateurs quantiques capables de casser le chiffrement” doivent répondre à plusieurs conditions strictes : d’abord, ils doivent être tolérants aux erreurs et capables de correction ; ensuite, ils doivent pouvoir exécuter l’algorithme de Shor (clé pour casser le chiffrement moderne) ; enfin, leur taille doit suffire pour, en un temps raisonnable (par exemple moins d’un mois), briser des standards comme la cryptographie à courbe elliptique ou RSA-2048.

Selon les jalons techniques publics, de tels ordinateurs restent très éloignés. Même dans des systèmes avec plus de 1000 qubits, on ne voit que des avancées numériques, pas encore une capacité pratique. Ces systèmes manquent généralement de la connectivité et de la fidélité nécessaires pour effectuer des calculs cryptographiques.

Le vrai goulot d’étranglement n’est pas le nombre de qubits, mais leur qualité. Briser le chiffrement moderne nécessite des dizaines de milliers, voire des centaines de milliers de qubits physiques, ce qui n’est qu’une estimation initiale. Le défi majeur réside dans la connectivité entre qubits, la fidélité des portes, et la correction d’erreurs pour exécuter des algorithmes quantiques profonds. Même les systèmes les plus avancés aujourd’hui ne peuvent maintenir en fonctionnement stable que quelques qubits logiques, et la différence avec les milliers de qubits logiques nécessaires pour exécuter Shor est exponentielle.

Jugement rationnel : avant d’atteindre un nombre de qubits et une fidélité améliorés d’au moins 3 à 4 ordres de grandeur, un ordinateur quantique capable de casser le chiffrement moderne n’apparaîtra pas.

Cependant, la communication des entreprises et des médias crée de la confusion :

• L’illusion de “l’avantage quantique” : la majorité des démonstrations sont des tâches soigneusement conçues, pas des applications utiles, simplement parce qu’elles peuvent tourner sur du matériel existant et paraître rapides. Cela est souvent minimisé ou dissimulé dans la communication.

• La tromperie sur le nombre de qubits physiques : les “mille ou plusieurs milliers de qubits” mentionnés dans la promotion concernent souvent des machines d’optimisation quantique (quantum annealing), pas des ordinateurs à portes capables d’exécuter Shor — deux technologies totalement différentes.

• L’abus de “qubits logiques” : certains prétendent réaliser 48 qubits logiques avec seulement 2 qubits physiques par logique, ce qui est sans sens d’un point de vue technique, car le code de correction utilisé ne peut pas corriger réellement, il ne fait que détecter les erreurs.

• Les feuilles de route trompeuses : beaucoup de plans mentionnent des “mille ou plusieurs milliers de qubits logiques”, mais ces qubits ne supportent que des opérations Clifford, qui peuvent être simulées efficacement par un ordinateur classique, et ne permettent pas d’exécuter l’algorithme de Shor nécessitant de nombreux T-gates. Ainsi, même si une feuille de route annonce la réalisation de milliers de qubits logiques, cela ne signifie pas qu’ils pourront casser le chiffrement à cette étape.

Ces pratiques déforment gravement la perception du progrès de la quantique, y compris chez certains observateurs expérimentés.

“Voler aujourd’hui, déchiffrer demain” : qui est réellement en danger ?

Pour comprendre la véritable urgence de la menace quantique, il faut distinguer deux types d’outils cryptographiques : le chiffrement et les signatures numériques.

L’attaque dite “HNDL” (Hold Now, Decrypt Later) consiste à stocker aujourd’hui du trafic chiffré, en espérant pouvoir le déchiffrer une fois qu’un ordinateur quantique sera disponible. Les adversaires d’État ont probablement déjà archivé massivement des communications cryptées, en se préparant à cette éventualité.

Ainsi, le chiffrement doit impérativement être mis à jour immédiatement, au moins pour les données nécessitant une confidentialité de 10 à 50 ans. C’est un vrai défi de menace immédiate, incontournable.

Mais les signatures numériques sont totalement différentes. Elles ne concernent pas la confidentialité, et ne permettent pas de “déchiffrer” le passé. Même si un ordinateur quantique apparaît un jour, il ne pourra que falsifier des signatures futures, pas déchiffrer celles déjà existantes. Si vous pouvez prouver qu’une signature a été créée avant l’arrivée de la machine quantique, elle ne pourra jamais être falsifiée.

Ce point est crucial, car il détermine la priorité d’upgrade pour chaque outil.

Les plateformes actuelles agissent en conséquence :

• Chrome et Cloudflare ont déployé une solution hybride X25519 + ML-KEM pour le chiffrement TLS. “Hybride” est la clé — utiliser à la fois une solution post-quantique et une classique permet de se protéger contre HNDL tout en conservant la sécurité classique si la solution post-quantique échoue.

• Apple avec iMessage (protocole PQ3) et Signal (protocole PQXDH et SPQR) ont aussi adopté des solutions hybrides.

En revanche, le déploiement de signatures post-quantique sur les infrastructures critiques est retardé — pas parce qu’elles ne sont pas nécessaires, mais parce que les solutions actuelles entraînent une forte baisse de performance et une complexité accrue.

La crise quantique dans la blockchain : menace réelle ou exagération ?

Bonne nouvelle pour la cryptomonnaie : la majorité des blockchains ne sont pas vulnérables à HNDL.

Les chaînes non privées comme Bitcoin ou Ethereum utilisent principalement des signatures numériques pour l’autorisation des transactions, pas du chiffrement. Ces signatures ne posent pas de risque HNDL. La blockchain Bitcoin est totalement publique — chaque transaction est visible. La menace quantique concerne la falsification de signatures (vol de fonds), pas le déchiffrement de données déjà publiques.

Ce fait est souvent mal compris par des organismes comme la Fed, qui ont affirmé à tort que Bitcoin était vulnérable à HNDL, exagérant la nécessité de migration.

Les exceptions concernent les chaînes privées ou de confidentialité. Beaucoup cryptent ou masquent l’adresse du receveur ou le montant. Ces informations pourraient être volées aujourd’hui, puis décryptées à l’aide d’un ordinateur quantique dans le futur, permettant de relier ou d’anonymiser à posteriori. Monero, par exemple, avec ses signatures en anneau et ses mécanismes de clé miroir, pourrait permettre de reconstituer entièrement le graphique des transactions.

Si les utilisateurs de ces chaînes tiennent à ce que leurs transactions restent confidentielles face à la menace quantique, ils doivent migrer rapidement vers des primitives post-quantum ou des solutions hybrides, ou repenser leur architecture pour ne pas mettre de secrets décryptables sur la chaîne.

Le dilemme de Bitcoin : pourquoi attendre simplement l’ordinateur quantique n’est pas une solution

Pour Bitcoin, plusieurs facteurs justifient dès maintenant la planification d’une migration post-quantique, mais pas directement liés à la technologie quantique elle-même :

• Le premier est la lenteur de la gouvernance. Les changements dans Bitcoin sont très lents, et toute controverse peut entraîner une bifurcation destructrice. La coordination sociale est un obstacle majeur.

• Le second est l’impossibilité d’une migration passive. Les détenteurs doivent volontairement transférer leurs fonds vers de nouvelles signatures, ce qui implique que des bitcoins vulnérables et abandonnés (estimés à plusieurs millions, valant des milliards de dollars) ne seront pas protégés par le protocole.

Mais cela ne signifie pas une fin immédiate : les attaques quantiques seront coûteuses et lentes au début, et les attaquants privilégieront les cibles à forte valeur. De plus, ceux qui évitent la réutilisation d’adresses ou n’utilisent pas Taproot (qui cache la clé publique jusqu’à la dépense) seront relativement à l’abri, car leur clé publique n’est pas visible sur la blockchain tant qu’ils ne dépensent pas.

Les seules vulnérabilités concernent les fonds dont la clé publique est déjà révélée — anciennes sorties P2PK, adresses réutilisées, ou Taproot (qui expose la clé publique lors de la dépense).

Pour les fonds vulnérables abandonnés, la solution est difficile : la communauté doit fixer une “date limite” pour la migration, ou laisser ces fonds à la merci d’un futur ordinateur quantique. La seconde option pose des questions juridiques et de sécurité.

Un autre défi spécifique à Bitcoin est le faible débit de transactions. Même si la migration est planifiée, le transfert de tous les fonds vulnérables pourrait prendre plusieurs mois.

Conclusion : Bitcoin doit commencer dès maintenant à planifier la transition post-quantique, non parce que l’ordinateur quantique apparaîtrait avant 2030 (ce qui n’est pas étayé), mais parce que la gestion, la coordination et la logistique pour transférer des milliards de dollars prennent du temps. La menace quantique est réelle, mais le vrai facteur de pression est la gouvernance et la structure même du réseau.

Coûts et risques d’une migration post-quantique précipitée

La cryptographie post-quantique repose principalement sur cinq familles de problèmes mathématiques : hachage, codes, grilles, systèmes d’équations quadratiques multivariées, et courbes elliptiques. La diversité des solutions est due à un compromis : plus la structure est complexe, plus l’efficacité est élevée, mais plus la vulnérabilité à une attaque est grande.

• Les schémas à base de hachage sont les plus sûrs, mais aussi les moins performants. Les signatures standardisées par le NIST font entre 7 et 8 Ko, contre 64 octets pour la signature elliptique — un rapport d’environ 100.

• Les schémas à base de grilles sont au centre des déploiements. La seule solution post-quantique sélectionnée par le NIST (ML-KEM) et deux des trois schémas de signature (ML-DSA, Falcon) sont basés sur cette famille.

• La signature ML-DSA fait entre 2,4 et 4,6 Ko, soit 40 à 70 fois la taille d’une signature elliptique.

• Falcon est plus compacte (0,7 à 1,3 Ko), mais très complexe à implémenter, notamment en raison des opérations en virgule flottante en temps constant, sujettes à des attaques par canaux latéraux. Son créateur la qualifie de “l’algorithme cryptographique le plus complexe que j’aie implémenté”.

Les défis de sécurité sont aussi plus importants : les signatures à base de grilles ont plus de valeurs intermédiaires sensibles et nécessitent des mécanismes de rejet et de contrôle de fault plus robustes.

Les leçons du passé doivent nous alerter : lors de la standardisation par le NIST, des candidats comme Rainbow (basé sur MQ) ou SIKE/SIDH (basés sur la déformation de courbes) ont été cassés par des ordinateurs classiques. Cela montre le risque d’une normalisation ou déploiement prématuré.

Les infrastructures Internet adoptent une approche prudente pour la migration des signatures, car la transition cryptographique est longue : la migration de MD5 ou SHA-1 a duré plusieurs années, et n’est pas encore totalement achevée.

Ce qu’il faut faire dès maintenant

En tenant compte de cette réalité, voici les principes à suivre : il faut prendre la menace quantique au sérieux, mais ne pas supposer que l’ordinateur quantique capable de casser le chiffrement apparaîtra avant 2030, car les progrès actuels ne le permettent pas. Certaines actions peuvent et doivent être entreprises dès aujourd’hui.

01. Déployer immédiatement des solutions hybrides

Dans les contextes où la confidentialité doit être assurée sur le long terme et où le coût est acceptable, il faut déployer sans délai des solutions hybrides post-quantum + classiques. De nombreux navigateurs, CDN, applications de messagerie (iMessage, Signal) ont déjà commencé. La solution hybride permet de se protéger contre HNDL tout en conservant la sécurité classique si la solution post-quantique échoue.

02. Utiliser des signatures à base de hachage dans les scénarios tolérants

Pour les cas où la taille des signatures n’est pas critique et la fréquence d’utilisation faible (mises à jour de logiciels/firmware), on peut dès maintenant adopter des signatures hybrides à base de hachage. Cela constitue une option conservatrice, une “bouée de sauvetage” en cas d’apparition prématurée d’ordinateurs quantiques.

03. Planifier dès maintenant dans la blockchain

Même si la blockchain n’a pas besoin de déployer immédiatement des signatures post-quantum, elle doit commencer à planifier, en s’inspirant de la prudence adoptée par la communauté PKI. La maturité des solutions doit être assurée.

04. Définir une trajectoire de migration claire

Les blockchains publiques comme Bitcoin doivent élaborer une feuille de route précise pour la migration post-quantique, et définir une politique pour les fonds “dormants” vulnérables. La planification doit commencer dès maintenant : le principal obstacle n’est pas technique, mais de gouvernance et de coordination.

05. Laisser le temps à la recherche

Il faut réserver plusieurs années pour faire mûrir la recherche sur les SNARKs post-quantum et les signatures agrégées, afin d’éviter de se précipiter sur des solutions sous-optimales.

06. S’inspirer de la conception des comptes

Pour Ethereum et autres plateformes, les portefeuilles intelligents (upgradables) offrent une meilleure flexibilité pour la migration. La séparation de l’identité du compte et du schéma de signature (account abstraction) permet une transition plus fluide, tout en facilitant des fonctionnalités comme la récupération sociale ou la gestion de sponsoring.

07. Prioriser la migration des chaînes privées ou de confidentialité

Les chaînes privées ou anonymes, où la confidentialité est essentielle, doivent migrer en priorité. Si la performance le permet, des solutions hybrides ou des architectures modifiées doivent être envisagées.

08. Prioriser la sécurité immédiate

Dans les années à venir, la correction des vulnérabilités, la lutte contre les attaques par canaux latéraux, et la sécurisation des implémentations seront plus urgentes que la menace quantique elle-même. Il faut investir dans l’audit, le fuzzing, la vérification formelle et la défense en profondeur, pour ne pas laisser la sécurité se réduire à la seule menace quantique.

09. Continuer à financer la recherche

Au niveau national, il faut continuer à soutenir la recherche pour former des experts. Les adversaires qui pourraient maîtriser la cryptographie quantique en premier constituent un risque majeur.

10. Adopter une approche critique face à l’actualité quantique

Les annonces de jalons sont nombreuses, mais chaque étape montre aussi à quel point la menace réelle est encore lointaine. Il faut analyser ces nouvelles avec esprit critique, en considérant qu’elles ne sont pas des signaux d’alarme immédiats, mais des indicateurs de progrès.

En conclusion : trouver un équilibre avant l’arrivée du danger

Les avancées technologiques peuvent accélérer ou retarder la menace, et il est difficile de prévoir précisément. Nous ne prétendons pas qu’un ordinateur quantique capable de casser le chiffrement apparaîtra dans cinq ans, mais la probabilité est faible selon les données techniques disponibles.

En suivant ces recommandations, nous pouvons éviter des risques plus immédiats et plus probables : vulnérabilités dues à des erreurs, déploiements précipités, ou transitions cryptographiques mal planifiées. Ces problèmes ne surviendront pas dans un futur lointain, mais dans les années où la menace quantique pourrait réellement commencer à nous affecter.