Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
HOT
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Marchés
Trader
Type de trading
Outils de trading
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
Options
HOT
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Futures Kickoff
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
NEW
Tradez des actifs on-chain et profitez des récompenses en airdrop !
Points Futures
NEW
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Communauté
Square
Gate Fun
Partagez votre message et restez informé sur les crypto et au-delà
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Info
Ce qu'il se passe dans le monde de la crypto
web3
Web3
Plus
Promotions
Le guide pour les débutants
giveaways
Centre de récompenses
Posts
Plus récents
Populaire
Actualités
Profil

a16z Long article : Quels risques la calcul quantique fait-elle peser sur les cryptomonnaies ?

TechubNewsvip

Auteur | Justin Thaler, partenaire en recherche chez a16z

Traduction | GaryMa 吴说区块链

À propos de « quand arrivera un ordinateur quantique capable de représenter une menace réelle pour le système cryptographique actuel », les gens ont souvent tendance à faire des prévisions exagérées — ce qui suscite des appels à une migration immédiate et massive vers des systèmes post-quantiques.

Mais ces appels ignorent souvent les coûts et risques liés à une migration prématurée, ainsi que le fait que les risques auxquels sont confrontés différentes primitives cryptographiques sont totalement différents :

Le chiffrement post-quantiques, même coûteux, doit être déployé immédiatement : « récolter maintenant, déchiffrer plus tard » (Harvest-now-decrypt-later, HNDL) est une attaque qui se produit déjà, car lorsque l’ordinateur quantique véritablement opérationnel arrivera — même dans plusieurs décennies —, les données sensibles protégées par cryptographie aujourd’hui resteront précieuses. Bien que le chiffrement post-quantique impose des coûts de performance et des risques d’implémentation, pour les données nécessitant une confidentialité à long terme, l’attaque HNDL n’a pas d’autre choix que d’être prise en compte.

Les considérations concernant la signature post-quantique sont tout à fait différentes. Elle n’est pas affectée par l’attaque HNDL, mais ses coûts et risques (taille plus grande, surcharge de performance, implémentation encore immature et vulnérabilités potentielles) signifient que la migration doit être menée avec prudence plutôt qu’immédiatement.

Ces différences sont cruciales. Les malentendus peuvent fausser l’analyse coûts-avantages, amenant les équipes à négliger des risques de sécurité plus critiques — par exemple, des vulnérabilités elles-mêmes.

Le véritable défi pour réussir la transition vers un système cryptographique post-quantique est d’aligner « urgence » et « menace réelle ». Ci-dessous, je vais clarifier certains malentendus courants concernant la menace quantique et son impact sur la cryptographie — y compris le chiffrement, la signature, et les preuves à divulgation zéro —, avec un focus particulier sur leur influence dans la blockchain.

Où en sommes-nous dans le calendrier ?

En cette décennie 2020, la probabilité qu’un « ordinateur quantique ayant une menace réelle pour la cryptographie » (CRQC) émerge est très faible, malgré quelques déclarations à grand bruit qui ont attiré l’attention.

ps : pour la cryptographie qui représente une menace réelle pour la cryptographie, le terme « cryptographically relevant quantum computer » sera abrégé en CRQC.

Par « ordinateur quantique capable de représenter une menace réelle pour la cryptographie », on entend une machine tolérante aux erreurs, capable d’exécuter l’algorithme de Shor à une échelle suffisante pour attaquer la cryptographie à courbe elliptique ou RSA — par exemple, pour casser secp256k1 ou RSA-2048 en moins d’un mois de calcul continu.

Selon les jalons publics et l’évaluation des ressources, nous sommes encore très loin de ce type d’ordinateur. Bien que certaines entreprises déclarent qu’un CRQC pourrait apparaître avant 2030 ou même 2035, aucune avancée publique ne le confirme.

D’après le contexte, aucun des architectures actuelles — ion-trap, qubits supraconducteurs ou atomes neutres — ne se rapproche du nombre de dizaines de milliers à plusieurs millions de qubits physiques nécessaires pour exécuter Shor contre RSA-2048 ou secp256k1 (ce nombre dépend de la taux d’erreur et de la correction d’erreur).

Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur continue des circuits de correction d’erreur nécessaires pour exécuter des algorithmes quantiques avancés. Bien que certains systèmes dépassent aujourd’hui 1 000 qubits physiques, ce chiffre est trompeur : ces systèmes manquent de la connectivité et de la fidélité des portes nécessaires pour réaliser des calculs cryptographiques.

Les systèmes récents approchent du seuil de faisabilité pour la correction d’erreur quantique, mais personne n’a encore démontré plus de quelques qubits logiques avec une profondeur de circuit soutenable — et encore moins des milliers de qubits logiques à haute fidélité, profonds, tolérants aux erreurs, nécessaires pour exécuter Shor en pratique. La théorie prouve la faisabilité de la correction d’erreur quantique, mais un écart énorme subsiste entre cette théorie et l’échelle réelle requise pour casser la cryptographie.

En résumé : sauf si le nombre de qubits et leur fidélité augmentent simultanément de plusieurs ordres de grandeur, un « ordinateur quantique représentant une menace réelle pour la cryptographie » reste hors de portée.

Cependant, les communiqués d’entreprise et la presse ont tendance à induire en erreur. Parmi les malentendus courants :

  • Affirmer avoir démontré un « avantage quantique » alors que ces démonstrations ciblent souvent des problèmes artificiels. Ces problèmes ne sont pas choisis pour leur utilité pratique, mais parce qu’ils peuvent être exécutés sur le matériel actuel et semblent présenter un avantage quantique marqué — ce qui est souvent minimisé dans la communication.
  • Affirmer avoir atteint plusieurs milliers de qubits physiques. Cela concerne généralement des machines de recuit quantique, pas des ordinateurs à portes pour exécuter Shor.
  • Utiliser à la légère le terme « qubits logiques ». Un qubit physique est bruité, il faut des qubits logiques pour exécuter des algorithmes. Comme mentionné, Shor nécessite des milliers de qubits logiques. Avec correction d’erreur, un qubit logique nécessite souvent des centaines ou milliers de qubits physiques (selon le taux d’erreur). Mais certaines entreprises abusent de ce terme : par exemple, récemment, une société a affirmé réaliser 48 qubits logiques avec un code de distance 2 en utilisant seulement 2 qubits physiques par qubit logique. Cela est absurde : un code de distance 2 ne peut que détecter, pas corriger, les erreurs. Les qubits logiques pour la cryptographie exigent des centaines ou milliers de qubits physiques par qubit logique, pas deux.
  • Plus généralement, beaucoup de roadmaps quantiques utilisent « qubits logiques » pour désigner des qubits supportant uniquement des opérations de Clifford, qui peuvent être simulés efficacement par un ordinateur classique, et ne suffisent pas pour exécuter Shor, qui requiert plusieurs milliers de portes T corrigées (ou plus généralement, des portes non-Clifford).

Donc, même si une roadmap annonce « atteindre X milliers de qubits logiques en telle année », cela ne signifie pas que cette société prévoit d’y exécuter Shor pour casser la cryptographie classique cette même année.

Ces pratiques déforment gravement la perception du public (et même des professionnels) de « notre proximité avec un CRQC réel ».

Néanmoins, certains experts restent optimistes : par exemple, Scott Aaronson a récemment écrit que, compte tenu de la rapidité étonnante du développement matériel, il est plausible que d’ici la prochaine élection présidentielle américaine, nous disposions d’un ordinateur quantique tolérant capable d’exécuter Shor.

Mais Aaronson précise que cela ne veut pas dire une machine capable de casser la cryptographie : même une exécution de Shor sur un ordinateur parfaitement tolérant et ne cassant que 15 (= 3×5), un nombre que l’on peut facilement calculer à la main, serait considéré comme une preuve que la norme est atteinte. La référence est toujours à des circuits de petite taille, pas à une échelle cryptographique significative ; auparavant, le décryptage de 15 utilisait des circuits simplifiés, pas la correction d’erreur complète de Shor. De plus, la décomposition quantique de 15 n’est pas un hasard : l’arithmétique modulaire 15 est très simple, alors que pour des nombres plus grands (comme 21) c’est beaucoup plus difficile. Par conséquent, les expériences de décomposition de 21 dépendent souvent d’astuces ou de raccourcis.

En résumé : il n’existe actuellement aucune avancée publique soutenant l’idée qu’une machine apparaîtra dans 5 ans capable de casser RSA-2048 ou secp256k1. Même une échéance de 10 ans reste très optimiste. La distance réelle avec un CRQC pertinent étant encore considérable, il reste raisonnable d’être enthousiasmé par les progrès, tout en conservant une perspective de plus de dix ans.

Alors, que signifie le fait que le gouvernement américain ait fixé 2035 comme année cible pour la migration globale vers la cryptographie post-quantique ? Je pense que c’est une échéance raisonnable pour une migration à grande échelle. Mais cela ne prédit pas l’apparition d’un CRQC à cette date.

Dans quels scénarios l’attaque HNDL est-elle pertinente (ou non) ?

L’attaque « récolter maintenant, déchiffrer plus tard » (Harvest now, decrypt later, HNDL) consiste pour un attaquant à stocker toutes les communications cryptées en espérant pouvoir les déchiffrer dès qu’un ordinateur quantique capable de casser la cryptographie apparaîtra. Il est certain que des acteurs étatiques ont déjà archivé en masse la communication cryptée du gouvernement américain, dans l’attente de pouvoir la déchiffrer quand la menace quantique sera réelle. C’est pourquoi les systèmes cryptographiques doivent commencer à migrer dès aujourd’hui — du moins pour ceux nécessitant plus de 10–50 ans de confidentialité.

Mais la signature numérique — la technologie sur laquelle reposent toutes les blockchains — diffère du chiffrement : elle ne possède pas de « confidentialité » susceptible d’être attaquée après coup.

Autrement dit, lorsque l’ordinateur quantique véritablement arrivera, il sera possible de falsifier des signatures numériques à partir de ce moment-là. Mais les signatures passées, générées avant l’arrivée de CRQC, ne sont pas comme des messages chiffrés « cachés » : si l’on peut confirmer qu’une signature a été générée avant l’apparition du CRQC, elle ne pourra pas être falsifiée.

Par conséquent, la migration vers une signature post-quantique ne doit pas être aussi urgente que pour le chiffrement.

Les principales plateformes ont d’ailleurs déjà pris des mesures : Chrome et Cloudflare ont déployé un chiffrement hybride X25519+ML-KEM dans le protocole TLS. [J’évoque ici ces « solutions cryptographiques », même si, strictement, TLS et autres protocoles utilisent des mécanismes d’échange ou d’encapsulation de clés, et non un chiffrement à clé publique.]

« Hybride » signifie ici combiner simultanément une solution résistante aux attaques quantiques (ML-KEM) avec une solution classique (X25519), afin d’obtenir la sécurité des deux. L’objectif est de bloquer l’attaque HNDL via ML-KEM, tout en conservant la sécurité traditionnelle de X25519 en cas de vulnérabilité de ML-KEM.

Apple a également intégré un chiffrement hybride post-quantique dans son protocole PQ3 pour iMessage, tout comme Signal avec ses protocoles PQXDH et SPQR.

En revanche, la migration vers la signature post-quantique dans l’infrastructure Web pourrait être retardée jusqu’au « moment où le CRQC sera sur le point d’apparaître », car les schémas actuels de signatures post-quantiques entraînent une dégradation notable des performances (ce que nous évoquerons plus loin dans cet article).

Les zkSNARK — preuves à divulgation zéro, succinctes et non interactives —, qui sont au cœur de l’avenir de la scalabilité et de la confidentialité de la blockchain, sont également affectés par la menace quantique, de façon similaire à la signature numérique. En effet, même si certains zkSNARKs ne sont pas intrinsèquement post-quantiques (car ils utilisent la cryptographie elliptique identique à celle utilisée dans la cryptographie et la signature actuelles), leur propriété de « zéro connaissance » demeure post-quantique.

La propriété de zéro connaissance garantit que la preuve ne divulgue aucune information sur le witness secret — même face à un attaquant quantique —, évitant ainsi toute fuite de données confidentielles pouvant être « récoltées » à l’avance pour être déchiffrées plus tard.

Par conséquent, les zkSNARKs ne sont pas affectés par HNDL. Comme les signatures numériques non post-quantiques actuelles, tant que la preuve zkSNARK a été produite avant l’apparition du CRQC, elle reste crédible (c’est-à-dire que la déclaration prouvée est toujours vraie) — même si elle utilise la cryptographie elliptique. Seul un CRQC apparaissant après pourrait permettre à un attaquant de fabriquer une preuve apparemment valide mais erronée.

Que signifie cela pour la blockchain ?

La majorité des blockchains ne sont pas exposées à l’attaque HNDL : la plupart des chaînes non privées — comme Bitcoin et Ethereum — utilisent principalement des signatures numériques non post-quantiques pour l’autorisation des transactions, pas du chiffrement.

Encore une fois, la signature numérique n’est pas vulnérable à HNDL : cette attaque ne concerne que le chiffrement. Par exemple, la blockchain Bitcoin est publique ; la menace quantique ne réside pas dans le déchiffrement des transactions, mais dans la falsification des signatures (par dérivation de la clé privée pour voler des fonds). Cela signifie que l’attaque HNDL n’a pas d’impact immédiat sur la cryptographie des blockchains actuelles.

Malheureusement, certains organismes de confiance (notamment la Réserve fédérale américaine) ont encore affirmé à tort que Bitcoin était vulnérable à HNDL, ce qui exagère la nécessité d’une migration rapide vers la cryptographie post-quantique.

Mais « la nécessité de précipiter » ne signifie pas que Bitcoin peut attendre indéfiniment : le processus de mise à jour des protocoles demande une coordination sociale importante, et le temps nécessaire pour migrer plusieurs milliards de dollars de fonds vulnérables est mesuré en années (nous y reviendrons).

Un cas particulier concerne les chaînes privées (privées ou à confidentialité renforcée), où de nombreuses transactions sont encryptées ou dissimulées — ce qui expose la vie privée des utilisateurs à l’attaque HNDL, à un degré variable selon la conception. Ces chaînes sont vulnérables si la clé elliptique est cassée, car il devient possible de dé-anonymiser les transactions passées. Par exemple, dans le cas de Monero, l’utilisation de signatures en anneau et d’images-clé (key images) permet de lier de manière unique chaque sortie pour empêcher la double dépense ; mais en théorie, en connaissant la clé publique, il serait possible de reconstituer le flux transactionnel entier dans le futur. D’autres chaînes privées sont moins vulnérables, mais la dé-anonymisation dépend de la conception — voir par exemple la discussion de Sean Bowe chez Zcash.

Si la protection de la vie privée (par exemple, que « les transactions ne seront pas exposées à l’avenir ») est une priorité, ces chaînes devraient migrer rapidement vers des primitives post-quantiques (ou des solutions hybrides). Sinon, elles doivent adopter une architecture où aucune donnée secrète décryptable n’est stockée sur la chaîne.

Quels sont les défis spécifiques à Bitcoin : gouvernance + coins abandonnés ?

Deux facteurs concrets rendent la migration vers des signatures post-quantiques urgente pour Bitcoin, et ces facteurs ne sont pas liés à la technologie quantique elle-même. La première est la lenteur de la gouvernance : l’évolution du protocole Bitcoin est extrêmement lente. Tout problème controversé ne pouvant faire consensus dans la communauté peut entraîner une hard fork destructrice.

La seconde est que la transition vers des signatures post-quantiques ne peut pas se faire par migration passive : les détenteurs doivent migrer activement leurs fonds. Les coins abandonnés mais encore vulnérables à la menace quantique ne seront pas protégés. Certains estiment que le nombre de BTC vulnérables, abandonnés, pourrait atteindre plusieurs millions, représentant plusieurs centaines de milliards de dollars à l’échéance 2025.

Mais la menace quantique ne provoquera pas un « effondrement brutal » du jour au lendemain : elle se manifestera plutôt sous forme d’attaques ciblées, progressives. La machine quantique ne cassera pas tous les systèmes cryptographiques d’un coup — Shor doit cibler chaque clé publique, un par un. Les coûts d’attaque initiale seront très élevés, et la progression lente. Dès qu’un ordinateur quantique pourra casser une clé, l’attaquant ciblera en priorité les portefeuilles de plus grande valeur.

De plus, à condition d’éviter la réutilisation d’adresses et de ne pas utiliser d’adresses Taproot (qui exposent directement la clé publique sur la chaîne), même si le protocole n’est pas encore mis à jour, une partie des fonds sera protégée : leur clé publique reste cachée derrière le hachage jusqu’à leur dépense. Lorsqu’une transaction est finalement diffusée, la clé publique apparaît, laissant une « fenêtre de compétition » en temps réel : les utilisateurs honnêtes doivent faire confirmer leur transaction rapidement, tandis que l’attaquant quantique tente de trouver la clé privée avant la confirmation pour dépenser les fonds. Les coins vulnérables sont donc ceux dont la clé publique a été exposée depuis des années : anciennes sorties P2PK, adresses réutilisées, et portefeuilles Taproot.

Pour les coins abandonnés et vulnérables, il n’existe pas de solution simple. Parmi les options :

  • La communauté Bitcoin pourrait adopter une « journée de drapeau » (flag day), après laquelle tous les coins non migrés seraient considérés comme brûlés.
  • Ou laisser tout abandon et toute vulnérabilité à la merci de quiconque dispose d’un CRQC.

La seconde option pose de graves problèmes juridiques et de sécurité : utiliser un ordinateur quantique pour détenir des fonds sans posséder la clé privée — même en affirmant qu’on en est le propriétaire légitime ou qu’on agit de bonne foi — constitue un acte de vol ou de fraude informatique dans de nombreux pays.

De plus, « abandon » n’est qu’une hypothèse liée à l’inactivité : personne ne peut garantir que ces coins n’ont pas été perdus ou que leur propriétaire actif n’a pas perdu la clé. Même en prouvant la possession passée, on ne peut pas forcément détenir le droit de « casser » la cryptographie pour les récupérer. Ce flou juridique rend ces coins abandonnés et vulnérables particulièrement vulnérables face à des attaquants malveillants hors de contrôle de la loi.

Un autre défi de Bitcoin est son faible débit transactionnel. Même si la migration est planifiée, le processus d’envoi des fonds vulnérables vers des adresses post-quantiques prendra plusieurs mois au rythme actuel de Bitcoin.

Ces défis rendent la planification de la migration post-quantique essentielle dès maintenant — non pas parce qu’un CRQC apparaîtra probablement avant 2030, mais parce que la coordination, la gouvernance, et la logistique technique pour migrer des dizaines de milliards de dollars de fonds vulnérables nécessiteront de nombreuses années.

La menace quantique pour Bitcoin est réelle, mais la pression temporelle provient de ses propres contraintes structurelles, pas de l’émergence imminente d’un CRQC. D’autres blockchains sont également vulnérables, mais Bitcoin est particulièrement exposé : ses premières transactions utilisaient des sorties pay-to-public-key (P2PK) qui exposent directement la clé publique sur la chaîne, rendant une proportion significative de BTC vulnérable. Son historique technique, sa longue ancienneté, sa concentration de valeur, son faible débit, et sa gouvernance lente accentuent ces vulnérabilités.

Il faut souligner que cette vulnérabilité ne concerne que la sécurité cryptographique des signatures. La sécurité économique de Bitcoin repose sur la preuve de travail (PoW), qui est moins susceptible à une attaque quantique pour trois raisons principales :

  • La PoW repose sur des fonctions de hachage, et sera donc affectée au maximum par la recherche de Grover, qui donne un avantage quadratique, pas exponentiel comme Shor.
  • La mise en œuvre de Grover est coûteuse, et il est quasiment impossible pour un ordinateur quantique d’obtenir un avantage pratique avec la PoW de Bitcoin.
  • Même avec un avantage quantique, cela favoriserait uniquement les grands mineurs, sans remettre en cause la sécurité économique globale.

Coût et risques des signatures post-quantiques

Pour comprendre pourquoi la blockchain ne doit pas précipiter le déploiement de signatures post-quantiques, il faut aussi considérer les coûts de performance et la confiance encore incertaine dans la sécurité post-quantique.

La majorité des primitives cryptographiques post-quantiques reposent sur cinq familles principales : hachage, codes correcteurs d’erreur, lattices, équations multivariées (MQ), et isogénies.

Pourquoi ces cinq approches ? Parce que la sécurité repose sur une hypothèse : qu’un ordinateur quantique ne pourra pas résoudre efficacement un problème mathématique spécifique. Plus la structure du problème est « forte », plus la primitive peut être efficace.

Mais c’est une épée à double tranchant : plus la structure est forte, plus la surface d’attaque est grande, et plus l’algorithme est susceptible d’être cassé. Cela crée une tension fondamentale — des hypothèses plus fortes offrent de meilleures performances, mais introduisent aussi un risque accru de vulnérabilités.

Globalement, du point de vue de la sécurité, les méthodes basées sur le hachage sont les plus conservatrices, car on a le plus de confiance qu’un ordinateur quantique ne pourra pas les attaquer efficacement. Mais leurs performances sont aussi parmi les pires : par exemple, la norme NIST pour les signatures à base de hachage donne des tailles de 7 à 8 KB même avec des paramètres minimaux. En comparaison, les signatures numériques à base d’elliptique font environ 64 octets, soit près de 100 fois plus petites.

Les primitives à base de lattices sont actuellement en tête de déploiement. La seule famille de schémas cryptographiques sélectionnée par NIST, ainsi que deux des trois algorithmes de signature, sont basés sur des lattices. L’un d’eux, ML-DSA (anciennement Dilithium), produit des signatures de 2,4 KB en sécurité 128 bits, et de 4,6 KB en sécurité 256 bits — soit 40 à 70 fois la taille d’une signature elliptique. Une autre, Falcon, utilise des signatures plus petites (Falcon-512 : 666 octets, Falcon-1024 : 1,3 Ko), mais repose sur des calculs flottants complexes, ce qui en fait une implémentation difficile. Son concepteur, Thomas Pornin, la qualifie de « la plus complexe que j’aie jamais implémentée ».

En termes de sécurité, la signature à base de lattice est plus difficile à réaliser : ML-DSA implique plus de valeurs intermédiaires sensibles et des logiques de rejet complexes, nécessitant des protections contre les attaques par canal ou par faille. Falcon augmente aussi la complexité des calculs flottants en temps constant. Plusieurs attaques par canal sur Falcon ont déjà permis de retrouver la clé privée.

Ces risques sont immédiats, et non un avenir hypothétique lié à un CRQC.

Il est légitime d’être prudent sur les primitives à base de lattices, car l’histoire a montré que des solutions prétendues « avancées », comme Rainbow (signatures MQ) ou SIKE/SIDH (cryptographie par isogénies), ont été « classiques » cassées — c’est-à-dire cassées par des ordinateurs classiques, pas par des ordinateurs quantiques.

Ce qui s’est produit à une étape avancée du processus de normalisation de NIST. Cela reflète une démarche scientifique saine, mais aussi le fait que la standardisation et le déploiement précipités peuvent avoir des effets contre-productifs.

Comme mentionné, l’infrastructure Internet avance prudemment dans la migration des signatures. Il faut noter que la transition des protocoles cryptographiques a pris plusieurs années ; par exemple, même après avoir abandonné MD5 ou SHA-1, l’adoption reste incomplète à ce jour dans certains contextes. Ces algorithmes sont totalement cassés, pas simplement « potentiellement cassables un jour ».

Défis spécifiques à la blockchain vs infrastructure Internet

Heureusement, les blockchains open source (Ethereum, Solana) peuvent évoluer plus rapidement que l’infrastructure Internet traditionnelle. D’un autre côté, l’Internet bénéficie de rotations fréquentes de clés, ce qui permet de faire évoluer rapidement la surface d’attaque — ce qui n’est pas le cas pour la blockchain, où les fonds et clés peuvent rester vulnérables indéfiniment. En général, la migration doit suivre la prudence de l’Internet, même si le contexte est différent : la valeur en jeu, la gouvernance, et la difficulté technique de la migration rendent la transition longue.

Un défi spécifique concerne les signatures dans les chaînes privées ou à confidentialité renforcée, où des transactions sont encryptées ou dissimulées. La vie privée y est exposée au risque HNDL, en fonction de leur conception. Si la clé elliptique est cassée, il sera possible de dé-anonymiser les transactions passées. Par exemple, dans Monero, les signatures en anneau et les images-clé empêchent la double dépense, mais connaître la clé publique permettrait de reconstruire le flux dans le futur. D’autres chaînes privées sont moins vulnérables, mais la vulnérabilité dépend de la conception — voir par exemple Sean Bowe chez Zcash.

Si la protection de la vie privée (par exemple, que « les transactions ne seront pas exposées à l’avenir ») est une priorité, ces chaînes devraient migrer rapidement vers des primitives post-quantiques ou des solutions hybrides. Sinon, elles doivent adopter une architecture où aucune donnée secrète décryptable n’est stockée sur la chaîne.

Quels sont les défis spécifiques pour Bitcoin : gouvernance + coins abandonnés ?

Deux facteurs concrets rendent la migration vers des signatures post-quantiques urgente pour Bitcoin, indépendamment de la technologie quantique : la lenteur de la gouvernance, et le fait que la transition ne peut pas se faire par migration passive. Bitcoin évolue lentement, et toute controverse peut entraîner une hard fork destructrice. En plus, les détenteurs doivent migrer activement leurs fonds — ceux qui sont abandonnés et vulnérables ne seront pas protégés.

On estime que plusieurs millions de BTC pourraient être vulnérables, représentant des centaines de milliards de dollars en 2025.

Mais la menace quantique ne causera pas un effondrement brutal immédiat : ce sera plutôt une attaque ciblée, progressive. Aucun ordinateur quantique ne cassera toutes les clés en même temps. La première étape consiste à cibler les fonds de grande valeur, en privilégiant ceux dont la clé publique est exposée depuis longtemps (ex : anciennes sorties P2PK, adresses réutilisées, portefeuilles Taproot).

Pour les fonds abandonnés, il n’existe pas de solution simple. Options possibles :

  • Adoption d’une « journée de drapeau » (flag day), après laquelle tous les fonds non migrés seraient considérés comme brûlés.
  • Ou laisser ces fonds vulnérables à toute personne disposant d’un CRQC.

Cette dernière option pose des problèmes juridiques et de sécurité : utiliser un CRQC pour détenir des fonds sans la clé privée, même en affirmant une propriété légitime, peut être considéré comme un acte de vol ou de fraude dans certains pays.

De plus, « abandon » n’est qu’une hypothèse d’inactivité : personne ne peut garantir que ces fonds ne sont pas perdus ou que leur propriétaire actif n’a pas perdu la clé. Même en prouvant la possession passée, on ne peut pas forcément détenir le droit de « casser » la cryptographie pour les récupérer. Ce flou juridique rend ces fonds particulièrement vulnérables face à des attaquants malveillants.

Un autre défi est le faible débit transactionnel de Bitcoin. Même si la migration est planifiée, le transfert de tous les fonds vulnérables prendra plusieurs mois.

Ces défis rendent la planification de la migration post-quantique cruciale dès maintenant — non pas parce qu’un CRQC apparaîtra probablement avant 2030, mais parce que la coordination, la gouvernance, et la logistique technique requièrent de nombreuses années.

La menace quantique est réelle, mais le délai provient des contraintes structurelles de Bitcoin, pas de l’émergence immédiate d’un CRQC. D’autres chaînes sont aussi vulnérables, mais Bitcoin est particulièrement exposé : ses premières transactions utilisaient des sorties pay-to-public-key (P2PK) qui exposent la clé publique, rendant une partie importante des BTC vulnérable. Son histoire, sa valeur concentrée, son débit faible, et sa gouvernance lente renforcent ces vulnérabilités.

Il faut souligner que cette vulnérabilité ne concerne que la sécurité cryptographique des signatures, pas la sécurité économique de Bitcoin. La sécurité économique repose sur la preuve de travail (PoW), qui est moins vulnérable à une attaque quantique pour trois raisons :

  • La PoW repose sur des fonctions de hachage, affectée au maximum par l’algorithme de Grover, qui donne un avantage quadratique, pas exponentiel comme Shor.
  • La mise en œuvre de Grover coûte cher, et il est quasi impossible pour un ordinateur quantique d’obtenir un avantage pratique avec la PoW.
  • Même avec un avantage quantique, cela favoriserait uniquement de grands mineurs, sans remettre en cause la sécurité économique de Bitcoin.

Coût et risques des signatures post-quantiques

Pour comprendre pourquoi la blockchain ne doit pas précipiter le déploiement des signatures post-quantiques, il faut aussi considérer les coûts de performance et l’incertitude quant à leur sécurité à long terme.

Les primitives cryptographiques post-quantiques s’appuient sur cinq familles principales : hachage, codes correcteurs, lattices, équations multivariées (MQ), et isogénies.

Pourquoi cinq ? Parce que leur sécurité repose sur une hypothèse : qu’un ordinateur quantique ne pourra pas résoudre efficacement un problème mathématique spécifique. Plus la structure du problème est « forte », plus la primitive peut être performante.

Mais c’est une arme à double tranchant : plus la structure est forte, plus la surface d’attaque est grande, et plus l’algorithme est susceptible d’être cassé. Cela crée une tension : des hypothèses plus fortes donnent de meilleures performances, mais introduisent aussi un risque accru de vulnérabilités.

Globalement, du point de vue de la sécurité, les méthodes basées sur le hachage sont les plus prudentes, car on a le plus de confiance qu’un ordinateur quantique ne pourra pas les attaquer efficacement. Mais leur performance est aussi la plus faible : par exemple, la norme NIST pour les signatures à base de hachage donne des tailles de 7 à 8 Ko, même avec des paramètres minimaux. En comparaison, les signatures elliptique font environ 64 octets, soit 100 fois plus petites.

Les primitives à base de lattices sont actuellement privilégiées. La seule famille retenue par NIST, ainsi que deux des trois algorithmes de signature, sont basés sur des lattices. Un exemple, ML-DSA (Dilithium), génère des signatures de 2,4 Ko en sécurité 128 bits, et de 4,6 Ko en sécurité 256 bits — soit 40 à 70 fois la taille d’une signature elliptique. Falcon, autre primitive, réduit la taille à 666 octets pour Falcon-512 ou 1,3 Ko pour Falcon-1024, mais repose sur des calculs flottants complexes, difficiles à implémenter. Son concepteur, Thomas Pornin, la qualifie de « la plus complexe que j’aie jamais implémentée ».

En termes d’implémentation, les signatures à base de lattices sont plus difficiles : ML-DSA nécessite plusieurs opérations sensibles et des logiques de rejet complexes, nécessitant des protections contre les attaques par canal et par erreur. Falcon augmente la complexité des calculs en temps constant, ce qui complique aussi la sécurité.

Ces risques sont immédiats, pas hypothétiques : ils ne sont pas liés à un CRQC, mais à la complexité des implémentations.

Il est raisonnable d’être prudent envers ces primitives, car l’histoire a montré que des solutions prétendues « avancées » comme Rainbow ou SIKE/SIDH ont été cassées par des ordinateurs classiques, pas par des ordinateurs quantiques.

Cela s’est produit à une étape avancée de la normalisation par NIST. Cela illustre une démarche scientifique saine, mais aussi que la standardisation prématurée peut être contre-productive.

Comme indiqué, l’infrastructure Internet avance prudemment dans la migration des signatures. Il faut noter que cette transition a pris plusieurs années. Même après avoir abandonné MD5 ou SHA-1, leur remplacement n’a pas été immédiat : ces algorithmes sont cassés, pas juste potentiellement.

Défis spécifiques à la blockchain vs infrastructure Internet

Heureusement, les blockchains open source (Ethereum, Solana) évoluent plus vite que l’infrastructure traditionnelle. Mais, en revanche, le renouvellement fréquent des clés sur l’Internet permet d’atténuer rapidement la surface d’attaque. Sur la blockchain, cela est impossible : les fonds et clés peuvent rester vulnérables indéfiniment. La migration doit donc suivre une démarche prudente, même si la menace est réelle.

Un autre défi concerne les signatures dans les chaînes à confidentialité renforcée : elles utilisent souvent des schémas cryptographiques incompatibles avec la sécurité quantique, ou sont vulnérables si la clé elliptique est cassée. Les chaînes comme Monero, qui utilisent des signatures en anneau et des images-clé, pourraient voir leur traçabilité reconstituée si la cryptographie elliptique est cassée. D’autres chaînes, comme Zcash, sont moins vulnérables mais leur conception doit aussi évoluer.

Si la protection de la vie privée est une priorité, ces chaînes doivent migrer rapidement vers des primitives post-quantiques ou hybrides. Sinon, il faut choisir une architecture où aucune donnée secrète décryptable n’est stockée sur la chaîne.

Quels sont les défis pour Bitcoin : gouvernance + coins abandonnés ?

Deux facteurs concrets accélèrent la nécessité de migrer : la lenteur de la gouvernance et le fait que la migration ne peut pas se faire passivement. La gouvernance de Bitcoin est très lente, et tout débat peut conduire à une fourchette dure. De plus, la migration nécessite une action volontaire des détenteurs — ceux qui abandonnent leurs fonds resteront vulnérables.

On estime que plusieurs millions de BTC pourraient être vulnérables en 2025, représentant plusieurs centaines de milliards de dollars.

La menace quantique ne causera pas un effondrement instantané, mais une attaque ciblée, progressive. La première étape sera de cibler les fonds de grande valeur, dont la clé publique est exposée depuis longtemps. Les vieilles sorties P2PK, adresses réutilisées, portefeuilles Taproot sont particulièrement vulnérables.

Pour les fonds abandonnés, il n’existe pas de solution simple. Deux options possibles :

  • Fixer une « journée de drapeau » (flag day), après laquelle tous les fonds non migrés sont considérés comme brûlés.
  • Ou laisser ces fonds vulnérables à toute personne disposant d’un CRQC.

Cette seconde option pose des problèmes juridiques : utiliser un CRQC pour détenir des fonds sans la clé privée pourrait être considéré comme un vol ou une fraude, selon la législation.

De plus, « abandon » n’est qu’une hypothèse : personne ne peut garantir que ces fonds ne sont pas perdus, ou que leur propriétaire actif n’a pas perdu la clé. Même en prouvant la possession passée, on ne peut pas forcément faire valoir un droit de « casser » la cryptographie pour récupérer ces fonds. Ce flou juridique rend ces fonds vulnérables à des acteurs malveillants.

Un autre défi est leur faible débit transactionnel : même si la migration est planifiée, elle prendra plusieurs mois.

Ces défis soulignent l’urgence de la planification de la migration post-quantique — pas parce qu’un CRQC apparaîtra forcément avant 2030, mais parce que la coordination, la gouvernance, et la logistique technique pour migrer plusieurs milliards de dollars prennent des années.

La menace quantique est donc réelle, mais la contrainte de temps vient des limites structurelles de Bitcoin, pas de l’émergence immédiate d’un CRQC.

D’autres blockchains sont aussi vulnérables, mais Bitcoin est particulièrement exposé : ses premières transactions utilisaient des sorties pay-to-public-key, exposant directement la clé, rendant une partie importante des BTC vulnérable. Son histoire, sa valeur concentrée, son faible débit, et sa gouvernance lente aggravent cette vulnérabilité.

Il faut préciser que cette vulnérabilité concerne la sécurité cryptographique des signatures, pas la sécurité économique : la sécurité économique de Bitcoin repose sur la preuve de travail (PoW), qui est moins vulnérable à un attaque quantique, car :

  • La PoW utilise des fonctions de hachage, affectées au maximum par l’algorithme de Grover, qui donne un avantage quadratique, pas exponentiel.
  • La mise en œuvre de Grover est coûteuse, rendant improbable un avantage pratique pour la PoW.
  • Même avec un avantage quantique, cela favoriserait uniquement de grandes mining pools, sans bouleverser la sécurité économique.

Coût et risques des signatures post-quantiques

Pour comprendre pourquoi la blockchain ne doit pas précipiter leur déploiement, il faut aussi prendre en compte les coûts de performance et la sécurité encore incertaine.

Les primitives cryptographiques post-quantiques reposent sur cinq familles : hachage, codes, lattices, équations multivariées, et isogénies.

Pourquoi ces cinq ? Parce que leur sécurité repose sur une hypothèse : qu’un ordinateur quantique ne pourra pas résoudre efficacement certains problèmes mathématiques. Plus la structure est forte, plus la primitive

BTC-2.72%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
0/400
Aucun commentaire
  • Épingler
plan du site
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • À propos de nousCarrièresNewsroomSponsor de Oracle Red Bull Racing Partenaire officiel sur la manche du maillot de l’Inter de MilanConsulter les clauses contractuellesAvertissement Consulter les clauses contractuelles et notre Politique de confidentialitéPolitique des cookiesKit médiaPreuve de réservesLicenseSécuritéGateToken (GT)GUSDGate ChainGate EventsApplication de la loiSommetsGate Ventures
    P2PConversion & Trading en blocs Trading spotTrading FuturesActionsAlphaMargeTokens à effet de levierNFTGate PayGate LifeGift CardGate OTCGate CharityBoutique GateWeb3Gate Perp DEXGate Vault
    Avantages VIPInstitutionnelCommentaires des utilisateursAnnoncesFraisAideEnvoyer une demandeListingVérifiez la sécurité d'un smart contractDéveloppeursRecherche de vérificationApplication pour les marchands P2PProgramme d'affiliationCalendrier CryptoSolution Cross-Chain de
    Gate LearnCours cryptoGlossaire des cryptomonnaiesCours des cryptomonnaiesBig DataHalving du BitcoinMise à niveau d’Ethereum (ETH)Crypto WikiCalculateur crypto