La véritable menace quantique pour Bitcoin ne réside pas dans le "déchiffrement", mais dans la falsification de signatures : pourquoi pouvons-nous mesurer ce risque dès maintenant

Beaucoup de gens parlent de la menace que représentent les ordinateurs quantiques pour Bitcoin en répétant la même phrase — “les ordinateurs quantiques vont déchiffrer le cryptage de Bitcoin”. Mais cette affirmation est fondamentalement fausse. En réalité, Bitcoin ne possède pas de données cryptées qui nécessitent d’être “déchiffrées”.

Pourquoi le cryptage de Bitcoin n’est pas le vrai problème

La protection de la propriété de Bitcoin ne repose pas sur un texte crypté. Au contraire, elle s’appuie sur des signatures numériques (ECDSA et Schnorr) et des engagements par hachage pour garantir la sécurité. La blockchain est un registre entièrement public — chaque transaction, chaque montant, chaque adresse peut être consulté par n’importe qui. Rien n’est caché.

En d’autres termes, une machine quantique ne pourra pas déchiffrer Bitcoin, car il n’y a tout simplement pas de secrets cryptés sur la blockchain. Adam Back, l’un des premiers développeurs de Bitcoin et inventeur de Hashcash, a clairement indiqué sur X : “Bitcoin n’utilise pas de cryptographie. Apprenez les bases, sinon cela révélera votre ignorance.”

Quel est le vrai risque ? Si un ordinateur quantique lié à la cryptographie pouvait exécuter l’algorithme de Shor, il pourrait déduire la clé privée à partir de la clé publique sur la blockchain, et ainsi créer des signatures valides pour des transactions conflictuelles. Ce n’est pas “déchiffrer le cryptage”, mais voler le contrôle de la validation.

Exposition de la clé publique : le vrai goulot d’étranglement de la sécurité de Bitcoin

Le système de signatures de Bitcoin exige que l’utilisateur prouve qu’il contrôle la paire de clés en créant une signature — c’est ce qui rend une transaction valide. Par conséquent, quand et comment la clé publique est exposée devient le cœur de la menace quantique.

De nombreux formats d’adresses utilisent la valeur hachée de la clé publique, ce qui signifie que la clé n’est révélée qu’au moment de la transaction. Ce court laps de temps limite la possibilité pour un attaquant de calculer la clé privée et de publier une transaction conflictuelle.

Mais ce n’est pas le cas pour tous les formats de sortie. Certains scripts exposent la clé plus tôt, et la réutilisation d’adresses transforme une exposition unique en une cible continue.

L’outil open source “Bitcoin Risq List” de Project Eleven cartographie ces scénarios, montrant quelles adresses Bitcoin pourraient déjà être vulnérables face à des attaquants disposant de l’algorithme de Shor. Selon leur suivi, environ 670 millions de BTC sont stockés dans des adresses qui présentent un risque.

Comment Taproot change la donne en matière d’exposition

Taproot (adresses P2TR) modifie la façon dont l’exposition est gérée par défaut. Selon la norme BIP 341, la sortie Taproot inclut dans le script une clé modifiée de 32 octets, plutôt que la valeur hachée de la clé.

Cela ne crée pas de vulnérabilité supplémentaire aujourd’hui. Mais cela change ce qui serait exposé si la clé devait être récupérée. C’est important, car l’exposition est mesurable — nous pouvons suivre les pools de Bitcoin potentiellement vulnérables sans deviner le calendrier de la menace quantique.

Project Eleven effectue une analyse automatique hebdomadaire et publie sa “Bitcoin Risq List”, comprenant toutes les adresses vulnérables à la menace quantique et leur solde.

Combien de puissance de calcul pour une menace quantique ?

D’un point de vue computationnel, la différence clé réside dans le fossé entre qubits logiques et qubits physiques.

Roetteler et ses collaborateurs ont déterminé dans leurs recherches qu’il faut au maximum 2 330 qubits logiques pour calculer le logarithme discret sur une courbe elliptique de 256 bits (formule : 9n + 2⌈log₂(n)⌉ + 10, avec n=256).

Mais pour convertir cela en une machine capable d’effectuer des calculs profonds avec un taux d’erreur faible, la consommation en qubits physiques est le principal obstacle. Selon l’estimation de Litinski en 2023, le calcul d’une clé privée elliptique de 256 bits nécessiterait environ 50 millions de portes Toffoli. En utilisant une approche modulaire, cela pourrait être réalisé en 10 minutes avec environ 6,9 millions de qubits physiques.

L’analyse de Schneier on Security estime qu’il faut environ 13 millions de qubits physiques pour casser en une journée, ou environ 317 millions de qubits physiques pour le faire en une heure (selon les hypothèses de temps et de taux d’erreur).

Pourquoi le cadre temporel est si important

Le temps d’exécution détermine la faisabilité de l’attaque. Si un ordinateur quantique met 10 minutes pour récupérer la clé privée à partir de la clé publique, et que le bloc Bitcoin moyen est miné toutes les 10 minutes, l’attaquant pourrait simplement prendre le contrôle de la sortie exposée. Il n’a pas besoin de réécrire l’historique de la blockchain.

Il y a aussi la question du hachage, souvent évoquée dans ce contexte. Mais ici, l’avantage quantique est l’algorithme de Grover, qui accélère la recherche par force brute de façon quadratique, et non l’algorithme de Shor pour le logarithme discret. Des études du NIST sur le coût pratique d’une attaque par Grover montrent que l’effort et la correction d’erreurs portent le coût à l’ordre de 2^128 opérations. Ce qui est négligeable comparé à la rupture du logarithme discret ECC.

Pourquoi l’adaptation implique un défi de migration plutôt qu’un danger immédiat

Au-delà de Bitcoin, le NIST a standardisé la cryptographie post-quantique, comme ML-KEM (FIPS 203), dans le cadre d’un plan de migration plus large. Au sein de Bitcoin, BIP 360 propose un nouveau type de sortie appelé “Pay to Quantum Resistant Hash”. Par ailleurs, qbip.org préconise de déprécier les anciennes signatures pour faciliter la migration et éliminer la queue de clés publiques à long terme.

Les feuilles de route récentes des entreprises donnent un contexte expliquant pourquoi cela est considéré comme un défi infrastructurel plutôt qu’une urgence. Reuters rapporte qu’IBM discute des progrès dans les composants de correction d’erreurs, et que la voie vers un système tolérant aux fautes est estimée autour de 2029.

Ainsi, “les ordinateurs quantiques déchiffreront Bitcoin” est à la fois une erreur terminologique et une mauvaise compréhension du mécanisme.

L’indicateur réellement mesurable est : quelle proportion de l’ensemble UTXO expose une clé publique, comment le comportement des portefeuilles s’adapte à cette exposition, et à quelle vitesse le réseau pourra déployer des solutions résistantes aux attaques quantiques tout en maintenant la validation et les contraintes de marché sur les frais.

En ce qui concerne l’avenir de Bitcoin face aux ordinateurs quantiques, la discussion doit porter sur l’adaptabilité plutôt que sur une crise imminente.