La bonne conclusion se situe donc entre deux excès : ne pas paniquer, mais ne pas attendre le dernier moment. Les autorités qui publient des recommandations de migration vers la cryptographie post-quantique la présentent déjà comme un changement technologique de masse, étalé sur plusieurs années.
Un attaquant quantique futur n’aurait pas besoin de « déchiffrer la blockchain ». La cible de valeur serait la récupération d’une clé privée à partir d’une clé publique. Si une clé publique Bitcoin est exposée et qu’un ordinateur quantique peut résoudre assez vite le problème elliptique correspondant, l’attaquant pourrait dériver la clé privée et fabriquer une dépense valide.
Ce scénario est différent d’une réécriture automatique de l’historique de Bitcoin ou d’une victoire systématique dans le minage. Bitcoin utilise aussi SHA-256 pour le minage et certains mécanismes de hachage d’adresses, mais le risque le plus direct discuté dans les travaux de préparation quantique concerne la couche des signatures à clé publique, pas d’abord le minage SHA-256.
Tous les bitcoins ne présentent pas le même profil de risque quantique. Dans Bitcoin, une clé publique peut être révélée lorsqu’une pièce est dépensée, et la réutilisation d’adresses facilite l’identification et la priorisation de ces expositions.
Cela crée deux problèmes pratiques. D’abord, les fonds associés à des clés publiques déjà visibles sur la chaîne seraient des candidats évidents à une migration prioritaire. Ensuite, lorsqu’un utilisateur diffuse une transaction, il peut exister une fenêtre avant confirmation pendant laquelle la clé publique et l’intention de dépense sont visibles ; si, dans le futur, une machine quantique pouvait retrouver la clé privée dans cette fenêtre, un attaquant pourrait tenter une transaction concurrente.
Les estimations actuelles ne montrent pas que ce scénario soit possible aujourd’hui. Elles expliquent en revanche pourquoi la conception des portefeuilles, la confidentialité de la diffusion des transactions, la file d’attente publique des transactions non confirmées — la mempool — et les délais de confirmation doivent faire partie de la discussion post-quantique avant que la menace ne devienne opérationnelle.
L’argument le plus fort pour se préparer tôt est simple : la cryptographie post-quantique n’est plus seulement un sujet de laboratoire. En août 2024, le NIST, l’organisme américain de normalisation technique, a finalisé ses trois premières normes de cryptographie post-quantique et a encouragé les administrateurs de systèmes à commencer la transition dès que possible.
Ces normes comprennent FIPS 203 pour ML-KEM, un mécanisme d’encapsulation de clé, FIPS 204 pour ML-DSA, un schéma de signature numérique, et FIPS 205 pour SLH-DSA, un schéma de signature sans état fondé sur le hachage. Le NIST a aussi publié des documents de planification pour passer d’algorithmes vulnérables au quantique à des signatures numériques et mécanismes d’établissement de clés post-quantiques.
Au Royaume-Uni, le NCSC, l’autorité nationale de cybersécurité, décrit la migration vers la cryptographie post-quantique comme un changement technologique de grande ampleur qui prendra plusieurs années. Ses premiers jalons incluent la définition d’objectifs de migration et un inventaire complet des systèmes d’ici 2028.
Pour Bitcoin et les autres blockchains, choisir un algorithme ne suffira pas. Une signature post-quantique doit aussi fonctionner avec les limites de taille des transactions, les coûts de vérification, les frais, les portefeuilles matériels, les dépositaires, les clients légers, les plateformes d’échange, les ponts inter-chaînes et le consensus social du réseau.
Les grandes plateformes d’échange, les dépositaires, les développeurs de portefeuilles, les émetteurs de stablecoins, les ponts inter-chaînes, les équipes de réseaux de couche 2 et les trésoreries importantes devraient cartographier toutes leurs dépendances à la cryptographie à clé publique vulnérable au quantique.
Cet inventaire devrait couvrir les flux de signature, le matériel de stockage des clés, les formats de sauvegarde, les procédures de récupération, les politiques multisignatures, les contrats intelligents, les validateurs de ponts et les clés publiques de longue durée.
La logique rejoint les premières étapes recommandées par le NCSC : définir ses objectifs et mener un exercice complet de découverte avant l’urgence. Pour Bitcoin, les priorités devraient inclure les adresses réutilisées, les clés publiques déjà exposées, les anciens types de sorties, les portefeuilles froids de grande valeur et les portefeuilles chauds qui révèlent fréquemment des clés publiques.
Les portefeuilles et plateformes devraient rendre la réutilisation d’adresses plus difficile et l’usage d’adresses fraîches plus naturel. Les clés publiques réutilisées ou déjà exposées sont parmi les points les plus évidents à traiter dans une stratégie de préparation quantique.
Les équipes d’infrastructure devraient aussi étudier la confidentialité de diffusion des transactions. Si le modèle d’attaque futur ressemble à une course entre une dépense légitime et une dépense falsifiée, réduire la visibilité et raccourcir la fenêtre d’exposition deviendra important même avant une migration complète vers des signatures post-quantiques.
Les équipes blockchain ont besoin de propositions crédibles pour prendre en charge des signatures post-quantiques, avec des chemins de déploiement et de consensus suffisamment prudents. Google explique que la publication responsable de ces travaux vise à aider les communautés crypto à renforcer la sécurité et la stabilité avant que les attaques quantiques ne deviennent possibles, notamment via une transition vers la cryptographie post-quantique.
Les normes du NIST sont un point de départ, pas une mise à jour automatique de Bitcoin. FIPS 204 et FIPS 205 sont bien des normes de signature numérique, mais les blockchains doivent aussi évaluer la taille des signatures, le coût de vérification, la bande passante, l’impact sur les frais, l’expérience utilisateur, la compatibilité avec les portefeuilles matériels et la confiance cryptanalytique à long terme.
Une transition réaliste pourrait passer par une période où les signatures actuelles et des mécanismes post-quantiques fonctionnent côte à côte. Cette approche hybride peut éviter de dépendre trop brutalement d’un schéma plus récent, tout en laissant aux portefeuilles, nœuds, plateformes, dépositaires et utilisateurs le temps d’apprendre un nouveau modèle opérationnel.
Le coût de cette prudence existe : des signatures plus volumineuses peuvent alourdir les transactions, les parcours de portefeuille peuvent devenir plus complexes et les utilisateurs sensibles aux frais pourraient être touchés. Mieux vaut mesurer ces effets dans des pilotes que les découvrir pendant une crise en direct.
La conservation d’actifs est l’endroit où le risque opérationnel se concentrera. Plateformes d’échange, dépositaires institutionnels, prestataires liés aux ETF, émetteurs de stablecoins, ponts et grandes trésoreries devraient tester la capacité de leurs modules de signature, HSM, portefeuilles matériels, moteurs de politique interne, journaux d’audit et procédures de reprise après incident à supporter une migration post-quantique ou progressive.
Comme les recommandations publiques présentent cette transition comme un chantier de plusieurs années, ces systèmes devraient être testés tant que la menace reste théorique, plutôt que dans la précipitation après l’apparition d’une capacité d’attaque crédible.
La migration cryptographique n’est pas seulement une affaire de mathématiques. Les réseaux décentralisés devront définir des normes pour alerter les utilisateurs, accompagner la migration, gérer les clés perdues et décider quoi faire — ou ne pas faire — des fonds exposés depuis longtemps qui ne bougent jamais.
Google indique que l’objectif de sa publication est d’aider la communauté crypto à améliorer sécurité et stabilité avant que la menace ne devienne possible. Le pire moment pour débattre de ces règles serait celui où l’écosystème croirait qu’une fenêtre d’attaque quantique réelle vient de s’ouvrir.
Il ne suffit pas de suivre les chiffres spectaculaires de qubits physiques annoncés dans les communiqués. Les signaux les plus pertinents sont le nombre de qubits logiques, les taux d’erreur, le surcoût de correction d’erreurs, la profondeur des circuits, le coût des portes Toffoli et les démonstrations de calcul tolérant aux fautes à grande échelle.
L’adoption des standards compte aussi. Les premières normes post-quantiques du NIST sont finalisées, la planification de transition du NIST est en cours, et le NCSC propose des jalons de migration par étapes. Les réseaux crypto ne devraient donc pas partir du principe qu’ils pourront repousser indéfiniment le travail de consensus et de mise à jour des portefeuilles.
Bitcoin n’est pas condamné à disparaître en 2033, et les sources citées ne montrent pas qu’un ordinateur quantique capable de le casser existe aujourd’hui. Mais le risque est assez plausible pour que les équipes sérieuses commencent maintenant.
Le goulet d’étranglement ne sera pas seulement le matériel quantique. Il sera aussi dans le choix des standards, le déploiement des portefeuilles, la modernisation de la conservation, la prise en charge par les plateformes d’échange, l’économie des frais et le consensus social. Attendre qu’un ordinateur quantique soit presque capable d’attaquer secp256k1 laisserait trop peu de temps à l’industrie crypto pour migrer proprement.