Quand pourra-t-on casser la cryptographie existante avec un ordinateur quantique ? a16z, associé de recherche, analyse en profondeur la véritable chronologie de la menace quantique, clarifie les risques distincts pour le chiffrement et la signature, et propose sept recommandations pour l’industrie de la blockchain. Cet article est issu du rapport de recherche de Justin Thaler / a16z, traduit et édité par Dongqu.
(Précédent contexte : Expert en physique : donner cinq ans de plus à l’ordinateur quantique pour casser la clé privée de Bitcoin, faut-il tout arrêter pour une mise à niveau BTC ?)
(Complément : Bitcoin sera-t-il cassé avant 2030 ? Google Willow « écho quantique » déclenche un débat entre experts : la majorité des clés publiques sont déjà exposées)

Table des matières

• Chronologie : à quel horizon se trouve l’ordinateur quantique capable de casser la cryptographie ?
• Attaque « voler maintenant, déchiffrer plus tard » : pour qui ? pour qui pas ?
• Qu’est-ce que cela signifie pour la blockchain ?
• La difficulté particulière de Bitcoin : impasse de gouvernance et « coins dormants »
• Coûts et risques des signatures post-quantiques
• Défis uniques de la blockchain face à l’infrastructure Internet
• Comment réagir ? Sept recommandations

À quel horizon se trouve l’ordinateur quantique capable de casser Bitcoin ?

Quand pourra-t-on disposer d’un ordinateur quantique capable de casser la cryptographie actuelle ? La chronologie de cette question est souvent exagérée, ce qui entraîne des appels à une « transition urgente et complète vers la cryptographie post-quantique ».

Cependant, ces appels négligent souvent les coûts et risques d’une migration prématurée, et ne reconnaissent pas que les menaces auxquelles font face différents outils cryptographiques sont fondamentalement différentes :

• La cryptographie post-quantique doit être déployée immédiatement, quel que soit le coût. Car la méthode d’attaque « voler maintenant, déchiffrer plus tard » (HNDL) existe déjà. Les données sensibles cryptées aujourd’hui, même si un ordinateur quantique n’apparaît que dans plusieurs décennies, conservent une valeur considérable. Bien que la cryptographie post-quantique puisse réduire la performance et comporter des risques d’implémentation, pour des données à long terme, il n’y a pas d’alternative.
• La signature numérique post-quantique est une autre histoire. Elle est moins vulnérable à l’attaque « voler maintenant, déchiffrer plus tard », car ses coûts et risques (augmentation de la taille, charge de performance, solutions encore immature, vulnérabilités potentielles) nécessitent une planification prudente plutôt qu’une action immédiate.

Il est crucial de faire cette distinction. Une mauvaise compréhension fausse l’analyse coût-bénéfice, et peut faire négliger des risques de sécurité plus urgents, comme les vulnérabilités dans le code.

Le vrai défi d’une transition réussie vers la cryptographie post-quantique réside dans l’alignement entre l’urgence de l’action et la menace réelle. Nous clarifierons ci-dessous les idées fausses courantes concernant la menace de l’ordinateur quantique pour la cryptographie, couvrant le chiffrement, la signature et la preuve à divulgation zéro, avec un focus particulier sur leur impact pour la blockchain.

Chronologie : à quel horizon se trouve l’ordinateur quantique capable de casser la cryptographie ?

Malgré les campagnes de communication exagérées, il est très peu probable qu’un « ordinateur quantique lié à la cryptographie » apparaisse dans les années 2020.

Un « ordinateur quantique lié à la cryptographie » désigne un ordinateur quantique tolérant aux erreurs, capable d’exécuter l’algorithme de Shor, et suffisamment puissant pour casser en un temps raisonnable (par exemple, en moins d’un mois de calcul continu) la cryptographie à courbe elliptique (comme secp256k1) ou RSA (comme RSA-2048).

Selon les jalons technologiques publics et l’évaluation des ressources, nous sommes encore très loin de cette capacité. Bien que certaines entreprises annoncent une réalisation possible d’ici 2030 ou 2035, les progrès connus ne soutiennent pas ces affirmations.

Actuellement, ni les systèmes à ions piégés, ni les qubits supraconducteurs, ni les systèmes à atomes neutres ne disposent d’une plateforme capable de casser RSA-2048 ou secp256k1, qui nécessitent des dizaines de milliers, voire des centaines de milliers de qubits physiques (le nombre précis dépend du taux d’erreur et des schémas de correction).

Le goulot d’étranglement ne réside pas seulement dans le nombre de qubits, mais aussi dans la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes. Certains systèmes physiques comptent déjà plus de 1000 qubits, mais ce chiffre est trompeur : ils manquent de connectivité et de fidélité suffisantes pour réaliser des opérations cryptographiques.

Récemment, des systèmes s’approchent du seuil de correction d’erreurs physique requis, mais personne n’a encore pu exécuter de manière stable plus de quelques qubits logiques, encore moins les milliers de qubits logiques à haute fidélité, avec circuits profonds et tolérants aux erreurs, nécessaires pour l’algorithme de Shor. La différence entre la validation théorique et la réalisation pratique de la cryptanalyse est encore immense.

En résumé : avant d’augmenter le nombre et la fidélité des qubits de plusieurs ordres de grandeur, un ordinateur quantique capable de casser la cryptographie n’est pas envisageable.

Cependant, les communiqués d’entreprises et les médias peuvent prêter à confusion. Les principales sources de confusion incluent :

2. La démonstration de « l’avantage quantique » : la plupart des tâches démontrées sont soigneusement conçues, non utiles en pratique, car elles peuvent être exécutées sur du matériel existant et « paraissent » rapides. Cet aspect est souvent minimisé dans la communication.
3. La promotion de « plusieurs milliers de qubits physiques » : cela concerne souvent des machines d’optimisation quantique (quantum annealing), et non des ordinateurs à portes capables d’exécuter l’algorithme de Shor.
4. La mauvaise utilisation du terme « qubits logiques » : les qubits physiques sont bruyants, et les algorithmes pratiques nécessitent de nombreux qubits physiques pour former des qubits logiques via correction d’erreurs. Exécuter Shor demande des milliers de qubits logiques, chacun construit à partir de centaines voire milliers de qubits physiques. Certaines entreprises exagèrent, par exemple en affirmant qu’un code de correction d’erreur « à -2 » (seulement capable de détecter, pas corriger) permettrait d’obtenir 48 qubits logiques avec seulement 2 qubits physiques, ce qui n’a aucun sens.
5. La mauvaise interprétation des feuilles de route : beaucoup de feuilles de route indiquent que « X milliers de qubits logiques » ne supportent que des opérations « Clifford », qui peuvent être simulées efficacement par un ordinateur classique, et ne suffisent pas pour exécuter l’algorithme de Shor nécessitant de nombreux « non-Clifford » (comme la porte T). Même si une feuille de route annonce « réalisation de X milliers de qubits logiques d’ici Y années », cela ne signifie pas que la société pourra casser la cryptographie classique à cette date.

Ces pratiques déforment gravement la perception du public (y compris des observateurs expérimentés) de l’état d’avancement de la recherche quantique.

Bien sûr, les progrès sont enthousiasmants. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de la « vitesse incroyable des progrès matériels », il est « tout à fait plausible » qu’avant la prochaine élection présidentielle américaine, nous ayons un ordinateur tolérant capable d’exécuter l’algorithme de Shor. Mais il précise que cela ne concerne pas la cryptographie liée à la cryptographie — même pour décomposer 15=3×5, ce qui est plus rapide à faire à la main, il considère cela comme une réalisation. Il s’agit encore d’une démonstration à petite échelle, visant simplement le nombre 15, car la division modulaire 15 est simple, alors que des nombres plus grands (comme 21) sont beaucoup plus difficiles.

Conclusion clé : l’absence de progrès public pour disposer d’un ordinateur quantique capable de casser RSA-2048 ou secp256k1 dans moins de 5 ans, est un argument solide contre une telle possibilité. Même dans 10 ans, cela reste ambitieux.

Ainsi, l’enthousiasme pour la progression et la chronologie « encore dix ans » ne sont pas incompatibles.

Et qu’en est-il de la décision du gouvernement américain de fixer 2035 comme date limite pour la migration complète vers la cryptographie post-quantique ? Je pense que c’est une planification raisonnable pour une transition à grande échelle, mais cela ne constitue pas une prédiction que l’ordinateur quantique lié à la cryptographie apparaîtra à cette date.

Attaque « voler maintenant, déchiffrer plus tard » : pour qui ? pour qui pas ?

L’attaque « voler maintenant, déchiffrer plus tard » consiste à enregistrer le trafic chiffré aujourd’hui, pour le déchiffrer une fois qu’un ordinateur quantique lié à la cryptographie sera disponible. Les adversaires étatiques ont probablement déjà archivé massivement des communications cryptées du gouvernement américain, en vue d’un futur déchiffrement.

Par conséquent, le chiffrement doit être immédiatement renforcé, au moins pour les données nécessitant une confidentialité de plus de 10 à 50 ans.

Mais la signature numérique (fondement de toutes les blockchains) est différente : elle ne concerne pas la confidentialité à retracer. Même si un ordinateur quantique apparaît, il ne pourra que falsifier des signatures futures, pas déchiffrer des signatures passées. Tant que vous pouvez prouver qu’une signature a été générée avant l’apparition de l’ordinateur quantique, elle reste inviolable.

Cela rend la transition vers des signatures numériques post-quantiques moins urgente que celle du chiffrement.

Les principales plateformes adoptent déjà cette approche :

• Chrome et Cloudflare ont déployé une solution hybride X25519+ML-KEM pour le chiffrement TLS. « Hybride » signifie utiliser simultanément une solution post-quantique (ML-KEM) et une solution classique (X25519), combinant leur sécurité, protégeant contre HNDL, tout en conservant la sécurité classique si la solution post-quantique échoue.
• Apple avec iMessage (protocole PQ3) et Signal (protocoles PQXDH et SPQR) ont également déployé des solutions hybrides post-quantiques.

En revanche, le déploiement de signatures post-quantiques sur les infrastructures critiques est retardé jusqu’à ce que la menace de l’ordinateur quantique lié à la cryptographie devienne concrète, car les solutions actuelles entraînent une baisse de performance (détaillée ci-après).

Les preuves à divulgation zéro (zkSNARKs) sont dans une situation similaire. Même celles qui ne sont pas post-quantiques (utilisant des courbes elliptiques) ont leur propriété « zéro connaissance » elle-même post-quantique. Elle garantit que la preuve ne révèle aucune information sur le secret (impossible à casser avec un ordinateur quantique), donc il n’y a pas de secret à « voler maintenant » pour un déchiffrement futur. Par conséquent, zkSNARKs ne sont pas facilement vulnérables à HNDL. Toute preuve générée avant l’apparition de l’ordinateur quantique reste crédible (même si elle utilise une courbe elliptique), et un attaquant ne pourra falsifier de fausses preuves qu’après.

Qu’est-ce que cela signifie pour la blockchain ?

La majorité des blockchains ne sont pas facilement vulnérables à HNDL.

Comme Bitcoin et Ethereum aujourd’hui, qui sont des chaînes non privées, leur cryptographie non post-quantique concerne principalement l’autorisation des transactions (signatures numériques), pas le chiffrement. Ces signatures ne constituent pas un risque HNDL. Par exemple, la blockchain Bitcoin étant publique, la menace quantique concerne la falsification des signatures (vol de fonds), pas le déchiffrement des données de transaction déjà publiques. Cela élimine l’urgence cryptographique immédiate liée à HNDL.

Malheureusement, même des institutions comme la Fed ont parfois affirmé à tort que Bitcoin serait vulnérable à HNDL, exagérant ainsi la nécessité d’une transition.

Bien sûr, cette moindre urgence ne signifie pas que Bitcoin est à l’abri. Il doit faire face à d’autres contraintes, notamment la nécessité d’un changement de protocole impliquant une coordination sociale importante (détaillée ci-après).

L’exception actuelle concerne les chaînes privées. Beaucoup cryptent ou dissimulent le destinataire et le montant. Ces données sensibles peuvent être volées aujourd’hui, puis décryptées à l’aide d’un ordinateur quantique dans le futur. La gravité de l’attaque dépend de la conception (par exemple, les signatures en anneau Monero ou les images de clés peuvent permettre de reconstruire entièrement le graphique des transactions). Si un utilisateur souhaite que ses transactions restent à l’abri à l’avenir, il doit migrer rapidement vers des primitives post-quantiques (ou solutions hybrides), ou adopter une architecture qui ne met pas de secrets décryptables sur la chaîne.

Les difficultés particulières de Bitcoin : impasse de gouvernance et « coins dormants »

Deux facteurs concrets motivent la planification urgente de signatures post-quantiques pour Bitcoin, indépendamment de la menace quantique elle-même :

• La lenteur de la gouvernance : le processus de changement de Bitcoin est lent, toute controverse pouvant entraîner une bifurcation dure destructrice.
• L’impossibilité de migration passive : les détenteurs doivent volontairement migrer leurs fonds. Cela signifie que des coins abandonnés, vulnérables à une attaque quantique, ne seront pas protégés. On estime que plusieurs millions de BTC « dormants » et vulnérables pourraient exister, représentant des centaines de milliards de dollars à leur valeur actuelle.

Cependant, la menace quantique n’est pas une fin immédiate pour Bitcoin, mais plutôt un processus progressif de ciblage sélectif. Les premières attaques quantiques seront coûteuses et lentes, ciblant préférentiellement les portefeuilles de grande valeur.

De plus, éviter la réutilisation d’adresses et ne pas utiliser d’adresses Taproot (qui expose directement la clé publique sur la chaîne) permet, même sans mise à jour du protocole, d’être relativement sécurisé : la clé publique reste cachée dans le hachage jusqu’à la dépense. Lorsqu’une transaction est diffusée, la clé publique est révélée, ce qui déclenche une course contre la montre : l’utilisateur honnête doit confirmer rapidement, tandis que l’attaquant quantique tente de calculer la clé privée avant.

Les coins réellement vulnérables sont ceux dont la clé publique est déjà exposée : anciennes sorties P2PK, adresses réutilisées, ou actifs détenus via Taproot.

Pour les coins abandonnés et vulnérables, la solution est difficile : soit la communauté fixe une « date limite » après laquelle les fonds non migrés sont considérés comme brûlés, soit ils seront pris par des acteurs disposant d’ordinateurs quantiques dans le futur. La seconde option pose de graves questions légales et de sécurité.

Un autre défi spécifique à Bitcoin est la faible capacité de transaction. Même si la migration est planifiée, le transfert de tous les fonds vulnérables prendra plusieurs mois.

Ces défis obligent Bitcoin à commencer dès maintenant la planification de la transition post-quantique — non pas parce que l’ordinateur quantique apparaîtra avant 2030, mais parce que la gouvernance, la coordination et la logistique technique nécessaires pour migrer des centaines de milliards de dollars prennent plusieurs années.

La menace quantique pour Bitcoin est réelle, mais la pression temporelle provient principalement de ses propres limites, et non d’une menace immédiate d’un ordinateur quantique.

Note : Les vulnérabilités mentionnées dans la signature n’affectent pas la sécurité économique de Bitcoin (preuve de travail). La PoW repose sur le hachage, et n’est que faiblement accélérée par l’algorithme de Grover, avec un coût pratique élevé, rendant une accélération significative peu probable. Même si cela se produisait, cela donnerait simplement un avantage aux grands mineurs, sans remettre en cause le modèle de sécurité économique.

Coûts et risques des signatures post-quantiques

Pourquoi ne pas déployer précipitamment des signatures post-quantiques sur la blockchain ? Il faut comprendre leur coût en performance et la confiance dans l’évolution de ces nouvelles solutions.

La cryptographie post-quantique repose principalement sur cinq familles de problèmes mathématiques : hachage, codage, grilles, systèmes d’équations quadratiques, courbes elliptiques. La diversité s’explique par le compromis entre efficacité et « structure » du problème : plus il y a de structure, plus c’est efficace, mais plus cela offre de brèches potentielles pour les attaques.

• Les schemes basés sur le hachage sont les plus conservateurs (avec la plus grande confiance en leur sécurité), mais aussi les moins performants. Par exemple, la norme NIST pour la signature par hachage nécessite au moins 7-8 Ko, contre 64 octets pour la signature elliptique, soit un rapport d’environ 100.
• Les schemes à base de grilles (lattice) sont actuellement au centre des déploiements. La seule solution de cryptographie post-quantique sélectionnée par le NIST (ML-KEM) et deux des trois schemes de signature (ML-DSA, Falcon) sont basés sur cette famille.
• La signature ML-DSA fait environ 2,4-4,6 Ko, soit 40-70 fois la taille d’une signature elliptique.
• Falcon est plus compacte (0,7-1,3 Ko), mais très complexe à implémenter, impliquant des opérations flottantes en temps constant, avec des attaques par canaux auxiliaires déjà démontrées. Son inventeur la qualifie de « l’algorithme cryptographique le plus complexe que j’aie implémenté ».
• La mise en œuvre sécurisée est encore plus difficile : les signatures basées sur la grille comportent plus de valeurs intermédiaires sensibles et une logique de rejet plus complexe, nécessitant une protection renforcée contre les attaques par canaux et les injections de fautes.

Ces enjeux de sécurité pratique sont bien plus immédiats que la menace d’un ordinateur quantique lointain.

Les leçons historiques nous rappellent aussi la prudence : les principaux candidats à la normalisation par le NIST, comme Rainbow (signatures MQ) ou SIKE/SIDH (cryptographie basée sur la isogénie), ont été cassés par des ordinateurs classiques. Cela montre que la normalisation et le déploiement précoces comportent des risques.

Les infrastructures Internet adoptent une approche prudente pour la migration des signatures, car la transition cryptographique est longue (par exemple, la migration de MD5/SHA-1 a duré plusieurs années et n’est pas encore achevée).

Défis spécifiques à la blockchain vs. infrastructure Internet

L’avantage pour la blockchain, c’est que les projets open source comme Ethereum ou Solana peuvent plus rapidement mettre à jour leurs protocoles. L’inconvénient, c’est que la rotation régulière des clés dans le réseau classique permet de réduire la surface d’attaque, alors que dans la blockchain, les fonds et clés associées peuvent rester exposés longtemps.

Globalement, la blockchain doit suivre la même prudence que l’Internet pour la migration des signatures. Les deux ne sont pas vulnérables à HNDL, et une migration prématurée comporte des coûts et risques importants.

Cependant, la blockchain présente des complexités spécifiques qui rendent une migration anticipée risquée :

• La nécessité d’agréger rapidement de nombreuses signatures (ex. signatures BLS). Bien que rapide, BLS n’est pas post-quantiques. La recherche sur l’agrégation de signatures post-quantiques basées sur SNARK est prometteuse, mais encore à ses débuts.
• L’avenir des SNARKs : la communauté privilégie actuellement les SNARKs post-quantiques basés sur le hachage, mais dans quelques mois ou années, des alternatives basées sur la famille des grilles devraient émerger, offrant de meilleures performances (notamment en longueur de preuve).

Le problème immédiat est la sécurité pratique : dans les années à venir, les vulnérabilités d’implémentation seront une menace plus grande que la menace d’un ordinateur quantique. Les attaques par canaux, injections de fautes, etc., nécessitent plusieurs années pour être atténuées.

Une migration prématurée pourrait conduire à se retrouver bloqué avec des solutions sous-optimales ou à devoir faire une seconde migration pour corriger des vulnérabilités.

Comment réagir ? Sept recommandations

Face à cette réalité, voici mes recommandations pour tous (des constructeurs aux décideurs). Le principe général : prendre la menace quantique au sérieux, mais ne pas supposer qu’un ordinateur quantique lié à la cryptographie apparaîtra avant 2030 (les progrès actuels ne soutiennent pas cette hypothèse). En même temps, certaines actions peuvent et doivent être entreprises dès maintenant :

2. Déployer immédiatement une cryptographie hybride : au moins dans les cas où la confidentialité doit être assurée sur plusieurs décennies, et où le coût reste acceptable. De nombreux navigateurs, CDN, applications de communication (iMessage, Signal) ont déjà commencé. La solution hybride (post-quantique + classique) protège contre HNDL, tout en évitant les vulnérabilités potentielles des solutions post-quantiques.
3. Utiliser dès maintenant des signatures basées sur le hachage dans les scénarios où la taille n’est pas critique (mises à jour logicielles, firmwares, etc.), en adoptant des signatures hybrides (hybride pour couvrir la transition). Cela constitue une « bouée de sauvetage » conservatrice, en cas d’apparition prématurée d’un ordinateur quantique.
4. La blockchain ne doit pas précipiter la mise en œuvre de signatures post-quantiques, mais doit commencer à planifier :
5. Les développeurs doivent suivre l’approche prudente du secteur PKI, pour faire mûrir les solutions.
6. Bitcoin et autres chaînes publiques doivent définir une feuille de route pour la migration, et une politique pour les fonds « dormants » vulnérables. Bitcoin doit commencer dès maintenant, car ses défis principaux sont non techniques (gouvernance lente, nombreux « coins dormants » à haute valeur).
7. La recherche sur les SNARKs post-quantiques et les signatures agrégables doit disposer de temps pour mûrir (plusieurs années), afin d’éviter de se fixer prématurément sur des solutions sous-optimales.
8. Concernant les comptes Ethereum : les portefeuilles intelligents (upgradables) pourraient offrir une transition plus fluide, mais la différence est limitée. La priorité est que la communauté continue à faire progresser la recherche sur les primitives post-quantiques et à élaborer des plans d’urgence. Une conception plus large consiste à découpler l’identité du compte de la signature spécifique (ex. account abstraction), ce qui offre une plus grande flexibilité, facilitant la migration post-quantique, et permettant aussi des fonctionnalités comme la récupération sociale ou la gestion de transactions sponsorisées.
9. Les chaînes privées doivent prioriser la migration (si la performance le permet), car leurs utilisateurs sont exposés à HNDL. La migration hybride ou la modification de l’architecture peut réduire cette vulnérabilité.
10. À court terme, privilégier la sécurité de l’implémentation plutôt que la menace quantique : pour les SNARKs et signatures post-quantiques, les vulnérabilités d’implémentation et les attaques par canaux seront plus graves que la menace d’un ordinateur quantique dans plusieurs années. Investir dans l’audit, le fuzzing, la vérification formelle et la défense en profondeur, pour ne pas laisser la peur quantique masquer des vulnérabilités plus urgentes.
11. Continuer à financer la recherche en informatique quantique : pour la sécurité nationale, il faut continuer à investir dans la R&D et la formation. Si un adversaire prenait une avance en cryptographie liée à la quantique, cela représenterait un risque majeur.
12. Adopter une vision critique des actualités sur la quantique : de nombreux jalons seront atteints, mais chaque jalon montre aussi que nous sommes encore loin de l’objectif. Il faut considérer ces annonces comme des rapports de progrès à analyser avec esprit critique, plutôt que comme des signaux pour agir précipitamment.

Bien sûr, les avancées technologiques peuvent accélérer ou ralentir ces prévisions. Je ne prétends pas qu’il soit impossible d’y parvenir en cinq ans, mais la probabilité est faible. Suivre ces recommandations nous aidera à éviter des risques plus immédiats et plus probables : vulnérabilités d’implémentation, déploiements précipités, erreurs dans la transition cryptographique.