En mars 2026, l’équipe Quantum AI de Google, en collaboration avec l’université Stanford et la Fondation Ethereum, a publié un livre blanc de 57 pages analysant de manière systématique les menaces que l’informatique quantique fait peser sur les cryptomonnaies. La conclusion principale : les ressources nécessaires pour casser la cryptographie à courbe elliptique 256 bits (ECC-256), qui sous-tend Bitcoin et Ethereum, sont environ 20 fois inférieures aux meilleures estimations précédentes. Plus précisément, dans une architecture quantique supraconductrice, moins de 500 000 qubits physiques pourraient mener une telle attaque, réduisant le temps d’exécution à environ 9 minutes.
L’importance de cette découverte ne réside pas dans le fait que les ordinateurs quantiques peuvent déjà compromettre Bitcoin — le matériel actuel en est encore très éloigné — mais dans le fait qu’elle fait passer le « Q-Day » (le moment où les ordinateurs quantiques pourront casser la cryptographie actuelle) d’une préoccupation purement théorique à un horizon d’ingénierie calculable. Google s’est fixé en interne l’échéance de 2029 pour migrer ses systèmes vers la cryptographie post-quantique (PQC). Justin Drake, chercheur à la Fondation Ethereum et co-auteur de l’étude, estime qu’à l’horizon 2032, la probabilité qu’un ordinateur quantique récupère une clé privée secp256k1 à partir d’une clé publique exposée atteint au moins 10 %.
Comment l’algorithme de Shor extrait les clés privées à partir des clés publiques
La sécurité de Bitcoin repose sur l’algorithme de signature numérique à courbe elliptique (ECDSA) utilisant la courbe secp256k1. L’hypothèse fondamentale est qu’avec des ordinateurs classiques, il est irréalisable de dériver une clé privée à partir d’une clé publique dans un délai raisonnable. Cette hypothèse fonde la sécurité de l’ensemble du système blockchain.
L’algorithme de Shor démontre que, sur un ordinateur quantique, le problème du logarithme discret sur courbe elliptique peut être résolu efficacement. L’apport clé de Google dans ce travail est d’avoir compilé un circuit quantique pour l’algorithme de Shor ciblant spécifiquement secp256k1, et d’avoir fourni des estimations concrètes des ressources nécessaires. L’étude propose deux approches : l’une limite le nombre de qubits logiques à moins de 1 200 et les portes Toffoli à moins de 90 millions ; l’autre augmente le nombre de qubits logiques à 1 450 mais réduit les portes Toffoli à 70 millions. Sur un ordinateur quantique supraconducteur, cela représente moins de 500 000 qubits physiques.
Symboliquement, Google n’a pas publié le circuit d’attaque complet. À la place, ils ont utilisé des preuves à divulgation nulle de connaissance (zero-knowledge proofs) pour attester de l’existence et de la validité du circuit. Cette démarche, inspirée du principe de « divulgation responsable » en cybersécurité traditionnelle, marque une nouvelle étape pour la cryptanalyse quantique — une étape qui exige une défense proactive plutôt que des correctifs réactifs.
Deux scénarios d’attaque : interception en temps réel et collecte hors ligne
Le livre blanc décrit deux scénarios d’attaque quantique, chacun présentant des profils de risque distincts.
Le premier est l’« attaque en temps réel », qui cible les transactions diffusées dans le mempool. Lorsqu’un utilisateur initie une transaction Bitcoin, sa clé publique est brièvement exposée sur le réseau — environ 10 minutes, soit le temps moyen de validation d’un bloc Bitcoin. Un ordinateur quantique suffisamment rapide pourrait dériver la clé privée à partir de la clé publique en environ 9 minutes, permettant à un attaquant de soumettre une transaction concurrente et de détourner les fonds avant confirmation. L’étude estime qu’une machine quantique unique, dans un état pré-calculé, aurait environ 41 % de chances d’intercepter une transaction durant cette fenêtre.
Le second scénario est l’« attaque statique », qui vise les portefeuilles dormants dont les clés publiques sont exposées de façon permanente sur la blockchain. Ici, aucune contrainte de temps : un ordinateur quantique peut travailler à son rythme. L’étude estime qu’environ 6,9 millions de bitcoins — soit environ 33 % de l’offre totale — ont des clés publiques exposées, incluant près de 1,7 million de bitcoins issus de l’ère Satoshi et une part importante de fonds exposés en raison de la réutilisation d’adresses.
Un point notable du livre blanc est que la mise à jour Taproot de Bitcoin en 2021, bien qu’elle ait renforcé la sécurité et la confidentialité classiques, a en réalité élargi la surface d’attaque quantique en exposant par défaut les clés publiques sur la chaîne. Taproot a supprimé la protection « hash-then-expose » présente dans l’ancien format d’adresse P2PKH.
Le coût technique et le dilemme de gouvernance face aux menaces quantiques
La voie pour contrer les menaces quantiques est claire, mais les coûts le sont tout autant. Le National Institute of Standards and Technology (NIST) des États-Unis a finalisé en août 2024 la standardisation du premier lot de normes de cryptographie post-quantique, incluant FIPS 203, 204 et 205. Sur le plan technique, les alternatives viables incluent les signatures post-quantiques à base de réseaux euclidiens (lattice-based), comme ML-DSA (anciennement CRYSTALS-Dilithium), et les signatures à base de hachage, comme SLH-DSA (anciennement SPHINCS+).
Cependant, le modèle de gouvernance décentralisée de Bitcoin rend la migration cryptographique particulièrement complexe. L’introduction de schémas de signatures post-quantiques nécessiterait un soft fork ou un hard fork, impliquant un consensus communautaire, la coordination des développeurs et une mise à niveau synchronisée des fournisseurs de portefeuilles et des plateformes d’échange. La communauté Bitcoin a proposé le BIP-360 pour ajouter des options de signatures résistantes aux attaques quantiques, mais la proposition est toujours en discussion. Adam Back, développeur principal, et d’autres estiment que la menace quantique est encore « lointaine » et qu’une mise à jour prématurée à grande échelle pourrait introduire des vulnérabilités cryptographiques non évaluées.
La véritable difficulté derrière ce débat réside dans l’incertitude liée à la menace quantique, qui transforme la question du « quand migrer » en un problème de théorie des jeux. Migrer trop tôt pourrait gaspiller des ressources de développement, tandis qu’attendre trop longtemps pourrait entraîner des pertes d’actifs irréversibles.
Comment la menace quantique fait évoluer l’évaluation de la sécurité des crypto-actifs
Les risques liés à l’informatique quantique redéfinissent la « marge de sécurité » des crypto-actifs. L’hypothèse traditionnelle — qu’il est impossible de retrouver une clé privée à partir d’une clé publique dans un délai raisonnable — est en cours de réévaluation. Les 6,9 millions de bitcoins (d’une valeur supérieure à 450 milliards de dollars aux cours actuels) dont les clés publiques sont entièrement exposées reposent désormais uniquement sur le fait, temporaire, que les ordinateurs quantiques ne sont pas encore matures.
Les marchés réagissent déjà à ce risque de différentes manières. Le taux d’utilisation des adresses Taproot est passé de 42 % en 2024 à environ 20 %, signe que certains utilisateurs évitent délibérément les formats d’adresse exposant les clés publiques. Matthew Kimmell, stratège chez CoinShares, note que cette recherche « réduit la fenêtre dont dispose l’industrie pour avancer dans la recherche et élaborer un plan d’action ».
D’un point de vue plus large, l’industrie crypto est plus vulnérable aux menaces quantiques que la finance traditionnelle, principalement parce que les registres blockchain sont publics et irréversibles. Les institutions financières classiques peuvent mettre à jour en masse certificats et clés pour se défendre contre les attaques quantiques, mais une fois qu’une clé publique est exposée sur la blockchain, c’est définitif — elle ne peut être « révoquée ». Cette différence structurelle implique que l’industrie crypto doit non seulement être capable « d’adopter des algorithmes post-quantiques », mais aussi de mettre en place un cadre institutionnel pour « s’adapter à une évolution cryptographique continue ».
Où en est-on : des estimations de ressources aux attaques réelles ?
Bien que les estimations de ressources du livre blanc aient nettement diminué, la capacité d’attaque réelle reste encore hors de portée. Les systèmes quantiques les plus avancés à ce jour — y compris la puce Willow de Google — disposent d’environ 100 qubits physiques et n’ont pas encore atteint la correction d’erreurs. Passer du matériel actuel à 500 000 qubits physiques stables et corrigés des erreurs suppose de surmonter d’importants défis d’ingénierie.
Certains experts estiment que les inquiétudes actuelles sont prématurées. Adam Back de Blockstream souligne que la couche réseau de Bitcoin ne repose pas sur la cryptographie classique ; la menace quantique ne concerne pas l’interception du trafic réseau, mais la compromission des clés privées des utilisateurs. Par ailleurs, la fonction de hachage SHA-256 utilisée dans le proof-of-work demeure relativement robuste face aux attaques quantiques — l’algorithme de Grover n’améliore l’efficacité du cassage de hachage que selon la racine carrée, bien moins menaçant que l’impact « exponentiel » de l’algorithme de Shor sur la cryptographie à clé publique.
Cela ne signifie toutefois pas que l’industrie puisse se permettre d’attendre. En cybersécurité, la stratégie « collect now, decrypt later » consiste à collecter dès aujourd’hui les données blockchain, en attendant que les ordinateurs quantiques soient opérationnels pour les casser. Cette asymétrie temporelle impose à l’industrie de déployer des défenses avant que les ordinateurs quantiques ne deviennent une réalité.
De la feuille de route 2029 de Google aux échéances réglementaires internationales
L’objectif de Google de migrer ses systèmes internes vers la PQC d’ici 2029 n’est pas isolé. Le cadre CNSA 2.0 de la National Security Agency (NSA) américaine impose que tous les nouveaux systèmes de sécurité nationale utilisent des algorithmes résistants aux attaques quantiques dès janvier 2027, une migration complète d’ici 2030, et une migration totale des infrastructures d’ici 2035. La pression combinée des normes du NIST et des échéances réglementaires de la NSA pousse entreprises et institutions à considérer la migration vers la PQC comme une exigence de conformité, et non plus comme un simple sujet de recherche.
Ce contexte pose un défi plus direct à l’industrie crypto. Mettre à niveau des réseaux décentralisés comme Bitcoin et Ethereum prend souvent des années. La Fondation Ethereum travaille depuis longtemps sur des feuilles de route post-quantiques et fait déjà tourner des schémas de signatures post-quantiques sur des testnets. À l’inverse, Bitcoin ne dispose toujours pas d’une feuille de route claire ni d’un mécanisme de financement coordonné pour le post-quantique. Si la gouvernance décentralisée apporte de la légitimité, elle rend aussi la migration cryptographique au niveau du protocole particulièrement lente.
Conclusion
Le livre blanc de l’équipe Quantum AI de Google ne signe pas la fin de Bitcoin. Il transforme la menace quantique, qui n’était qu’une hypothèse vague et lointaine, en un ensemble de paramètres d’ingénierie quantifiables. Les 500 000 qubits physiques requis pour une attaque, la fenêtre d’attaque d’environ 9 minutes, et les 6,9 millions de bitcoins aux clés publiques exposées — tout cela définit une fenêtre de sécurité réelle, qui se réduit.
Le défi de l’industrie n’est pas seulement technique — le NIST a déjà résolu la question algorithmique. La véritable difficulté réside dans la coordination de la gouvernance. Dans les réseaux décentralisés, la construction du consensus prend du temps, mais l’avancée de l’informatique quantique n’attendra pas. Au cours des cinq à sept prochaines années, l’industrie crypto devra arbitrer entre deux risques : migrer trop tôt et introduire une cryptographie non testée, ou migrer trop tard et subir des pertes d’actifs irréversibles. Quelle que soit la voie choisie, l’informatique quantique n’est plus un concept théorique, mais une variable pratique à intégrer dans les cadres de sécurité des crypto-actifs.
FAQ
Q : Les ordinateurs quantiques peuvent-ils casser Bitcoin aujourd’hui ?
R : Non. Les systèmes quantiques les plus avancés aujourd’hui disposent d’environ 100 qubits physiques. Casser l’ECC-256 de Bitcoin nécessiterait environ 500 000 qubits physiques corrigés des erreurs — soit un écart de plusieurs centaines de fois.
Q : Que signifie un cassage en 9 minutes ?
R : Il s’agit du scénario « d’attaque en temps réel » décrit dans le livre blanc. Si un ordinateur quantique est dans un état pré-calculé, il lui faudrait environ 9 minutes, à partir de l’exposition de la clé publique, pour réussir à la casser — soit un peu moins que les 10 minutes moyennes d’un bloc Bitcoin. Théoriquement, cela donne environ 41 % de chances d’intercepter une transaction.
Q : Quels bitcoins sont les plus à risque ?
R : Les adresses dont les clés publiques sont exposées en permanence sont les plus à risque, notamment les anciennes adresses P2PK (environ 1,7 million de bitcoins), les adresses exposées par réutilisation, et les adresses Taproot. L’étude estime qu’environ 6,9 millions de bitcoins sont dans cette situation.
Q : Peut-on mettre à niveau Bitcoin pour le protéger des attaques quantiques ?
R : Oui. Le NIST a finalisé des standards de cryptographie post-quantique (comme ML-DSA et SLH-DSA). Bitcoin pourrait introduire des options de signatures résistantes aux attaques quantiques via des propositions comme le BIP-360. Le défi réside dans le fait que les mises à jour requièrent un consensus communautaire, ce qui peut prendre des années.
Q : Que doivent faire les utilisateurs dès maintenant ?
R : Évitez de réutiliser les adresses — utilisez une nouvelle adresse pour chaque transaction. Stockez les montants importants dans des portefeuilles froids. Restez informé des avancées de la communauté sur les mises à jour résistantes aux attaques quantiques, et migrez de manière proactive vos actifs vers des formats d’adresse plus sécurisés.
