La véritable menace quantique pour Bitcoin n'a rien à voir avec "casser le chiffrement"

Le récit entourant les ordinateurs quantiques et la sécurité de Bitcoin a été embrouillé par une erreur fondamentale de terminologie. La couverture médiatique affirme souvent que les ordinateurs quantiques vont « casser le chiffrement de Bitcoin », mais cette formulation rate complètement la véritable vulnérabilité. Bitcoin ne stocke pas de secrets chiffrés sur la blockchain. La véritable exposition réside dans les signatures numériques et la compromission des clés publiques — un vecteur de menace nettement différent.

Comprendre ce qui compte réellement : Signatures plutôt que secret

Le modèle de sécurité de Bitcoin repose sur des signatures ECDSA et Schnorr pour prouver la propriété des coins. La blockchain est un registre transparent ; chaque transaction et adresse est visible publiquement. Cela signifie que rien n’est chiffré au sens traditionnel. La question de sécurité n’est pas de savoir si un ordinateur quantique peut déchiffrer quelque chose de caché — c’est de savoir s’il peut dériver une clé privée à partir d’une clé publique exposée et forger une signature valide.

Adam Back, un développeur de Bitcoin de longue date, a formulé cette distinction avec précision : « Bitcoin n’utilise pas de chiffrement. Comprenez vos bases. » Cette erreur de terminologie a alimenté la FUD quant aux ordinateurs quantiques pendant des années. Le vrai risque quantique concerne l’algorithme de Shor, qui peut théoriquement calculer des logarithmes discrets sur des courbes elliptiques. Si un ordinateur quantique suffisamment puissant exécute cet algorithme sur une clé visible publiquement sur la chaîne, il pourrait en déduire la clé privée correspondante et autoriser des transactions non autorisées.

Le goulot d’étranglement : lorsque les clés publiques deviennent exposées

Le format d’adresse a une importance cruciale pour le risque quantique. De nombreux types d’adresses Bitcoin ne s’engagent qu’à un hash de la clé publique, ce qui signifie que la clé brute reste cachée jusqu’à ce que cette sortie soit dépensée. Ce design réduit la fenêtre pour un attaquant potentiel pour calculer une clé privée via l’algorithme de Shor.

Cependant, d’autres types de scripts exposent les clés plus tôt. La réutilisation d’adresses transforme une seule révélation en une vulnérabilité persistante. Les sorties Taproot (P2TR), introduites via BIP 341, incluent une clé publique modifiée de 32 octets directement dans le programme de sortie plutôt qu’un hash — ce qui modifie considérablement le profil d’exposition.

Le « Bitcoin Risq List » de Project Eleven suit cette méthode d’exposition de manière systématique. Leur analyse identifie environ 6,7 millions de BTC déjà sur la chaîne avec des clés publiques exposées, créant ce que les chercheurs définissent comme le pool d’adresses vulnérables au quantum.

Quantifier la barrière computationnelle

Comprendre si le risque quantique est imminent nécessite de distinguer les qubits logiques des qubits physiques. Des recherches de Roetteler et collègues établissent qu’il faut environ 2 330 qubits logiques pour calculer un logarithme discret sur une courbe elliptique de 256 bits, en limite supérieure. La racine carrée de la relation de 256 — ainsi que la complexité algorithmique plus large — informant ces estimations.

Convertir les qubits logiques en machines physiques avec correction d’erreur implique un coût énorme. Des estimations récentes suggèrent qu’environ 6,9 millions de qubits physiques pourraient récupérer une clé elliptique de 256 bits en environ 10 minutes (sous le modèle de Litinski 2023). D’autres analyses tournent autour de 13 millions de qubits physiques pour casser une clé en une journée. Ces chiffres supposent des taux d’erreur et des délais spécifiques qui restent non prouvés en pratique.

Les feuilles de route récentes d’IBM situent les ordinateurs quantiques tolérants aux fautes vers 2029, bien que les progrès dans les composants de correction d’erreur continuent de faire évoluer les échéances. La voie de calcul, de la faisabilité théorique à l’attaque pratique, reste extrêmement escarpée.

La question de Grover : pourquoi les fonctions de hachage restent résilientes

Les algorithmes quantiques posent des menaces différentes selon les couches cryptographiques. Alors que l’algorithme de Shor cible directement les problèmes de logarithme discret, celui de Grover offre seulement une accélération par racine carrée contre la recherche exhaustive. Pour le hachage SHA-256 de Bitcoin, une attaque accélérée par Grover laisse la cible de sécurité à environ 2^128 opérations — toujours irréalisable en pratique et incomparable à une rupture de courbe elliptique.

Le hachage reste donc une préoccupation secondaire dans les évaluations de risque quantique.

La migration comme vrai défi

Si une machine capable de quantique émerge, la menace ne consistera pas à réécrire l’historique de la consensus Bitcoin. Au contraire, un attaquant chercherait à dépenser des sorties avec des clés exposées plus rapidement que la confirmation légitime des transactions. Cela déplace la fenêtre de vulnérabilité de Bitcoin de la reconstruction historique à la compétition en temps réel pour les transactions.

Les mises à jour de protocole offrent la voie à suivre. BIP 360 propose des types de sortie « Pay to Quantum Resistant Hash », tandis que des propositions comme qbip.org préconisent la suppression des signatures héritées pour forcer la migration et réduire la longue traîne d’adresses exposées. Les signatures post-quantiques telles que ML-KEM (norme FIPS 203 du NIST) sont de plusieurs kilo-octets plutôt que quelques dizaines, remodelant fondamentalement l’économie des transactions et la conception des portefeuilles.

Le comportement des portefeuilles et les schémas de réutilisation d’adresses offrent des leviers à court terme. Une fois qu’une clé publique est diffusée sur la chaîne, toute réception future à cette même adresse reste exposée. Les utilisateurs et développeurs peuvent réduire l’exposition dès aujourd’hui par une discipline opérationnelle et de meilleures configurations de portefeuille.

La conclusion : mesurer le risque sans certitude sur le calendrier

La vulnérabilité quantique de Bitcoin est réelle mais mesurable — et son urgence dépend du développement de machines tolérantes aux fautes plutôt que d’une avancée algorithmique. Le défi infrastructurel est gérable : suivre l’exposition, concevoir des chemins de migration, et mettre à jour les règles de validation. Le défi narratif consiste à corriger la terminologie : Bitcoin ne court aucun risque de casser un chiffrement car il n’utilise pas de chiffrement à casser. Il fait face à un risque de forger des signatures à partir de clés publiques exposées — et ce calendrier dépend du matériel, pas de la théorie.