Les ordinateurs quantiques capables de briser la blockchain Bitcoin n’existent pas aujourd’hui. Les développeurs, toutefois, envisagent déjà une vague de mises à niveau afin de construire des défenses contre la menace potentielle, et à juste titre, car cette menace n’est plus hypothétique.

Cette semaine, Google a publié une étude suggérant qu’un ordinateur quantique suffisamment puissant pourrait déchiffrer la cryptographie fondamentale de Bitcoin en moins de neuf minutes — une minute de plus vite que le temps moyen de règlement d’un bloc Bitcoin. Certains analystes pensent qu’une telle menace pourrait devenir une réalité d’ici 2029.

Les enjeux sont considérables : environ 6,5 millions de jetons bitcoin, d’une valeur de centaines de milliards de dollars, se trouvent dans des adresses qu’un ordinateur quantique pourrait cibler directement. Une partie de ces pièces appartient au créateur pseudonyme de Bitcoin, Satoshi Nakamoto. En plus, le compromis potentiel endommagerait les principes fondamentaux de Bitcoin — « faire confiance au code » et « de la monnaie saine ».

Voici à quoi ressemble la menace, ainsi que les propositions envisagées pour l’atténuer.

Deux façons dont une machine quantique pourrait attaquer Bitcoin

Comprenons d’abord la vulnérabilité avant de discuter des propositions.

La sécurité de Bitcoin repose sur une relation mathématique à sens unique. Lorsque vous créez un portefeuille, une clé privée et un nombre secret sont générés, à partir desquels une clé publique est dérivée.

Dépenser des jetons bitcoin exige de prouver la possession d’une clé privée, non pas en la révélant, mais en l’utilisant pour générer une signature cryptographique que le réseau peut vérifier.

Ce système est infaillible, car des ordinateurs modernes mettraient des milliards d’années à briser la cryptographie à courbes elliptiques — plus précisément l’algorithme de signature numérique à courbe elliptique (ECDSA) — afin de reconstruire la clé privée à partir de la clé publique. Ainsi, on dit que la blockchain est computationnellement impossible à compromettre.

Mais un futur ordinateur quantique peut transformer cette voie à sens unique en une voie à double sens en dérivant votre clé privée à partir de la clé publique et en vidant vos pièces.

La clé publique est exposée de deux façons : à partir de pièces laissées au repos sur la blockchain (l’attaque par longue exposition) ou de pièces en mouvement ou de transactions en attente dans le pool de mémoire (attaque par courte exposition).

Les adresses Pay-to-public key (P2PK) (utilisées par Satoshi et les mineurs initiaux) et Taproot (P2TR), le format d’adresse actuel activé en 2021, sont vulnérables à l’attaque par longue exposition. Les pièces dans ces adresses n’ont pas besoin de bouger pour révéler leurs clés publiques ; l’exposition a déjà eu lieu et est lisible par n’importe qui sur Terre, y compris un futur attaquant quantique. Environ 1,7 million de BTC est détenu dans de vieilles adresses P2PK — y compris les pièces de Satoshi.

La courte exposition est liée au mempool — la salle d’attente des transactions non confirmées. Tant que les transactions y demeurent avant leur inclusion dans un bloc, votre clé publique et votre signature sont visibles par l’ensemble du réseau.

Un ordinateur quantique pourrait accéder à ces données, mais il ne disposerait que d’une fenêtre brève — avant que la transaction ne soit confirmée et enfouie sous des blocs supplémentaires — pour dériver la clé privée correspondante et agir en conséquence.

Initiatives

BIP 360 : Suppression de la clé publique

Comme indiqué plus tôt, chaque nouvelle adresse Bitcoin créée aujourd’hui avec Taproot expose en permanence une clé publique à la blockchain, offrant à un futur ordinateur quantique une cible qui ne disparaît jamais.

La proposition d’amélioration Bitcoin (BIP) 360 supprime la clé publique définitivement intégrée on-chain et visible par tous en introduisant un nouveau type de sortie appelé Pay-to-Merkle-Root (P2MR).

Rappelons qu’un ordinateur quantique étudie la clé publique, reconstruit exactement la forme de la clé privée et forge une copie fonctionnelle. Si nous retirons la clé publique, l’attaque n’a plus rien à exploiter. Pendant ce temps, tout le reste, y compris les paiements Lightning, les configurations multi-signature et d’autres fonctionnalités de Bitcoin, reste identique.

Cependant, si elle est mise en œuvre, cette proposition ne protège que les nouvelles pièces à l’avenir. Les 1,7 million de BTC déjà présents dans de vieilles adresses exposées constituent un problème distinct, traité par d’autres propositions ci-dessous.

SPHINCS+ / SLH-DSA : Signatures post-quantiques basées sur le hachage

SPHINCS+ est un schéma de signature post-quantique construit sur des fonctions de hachage, en évitant les risques quantiques auxquels fait face la cryptographie à courbes elliptiques utilisée par Bitcoin. Alors que l’algorithme de Shor menace l’ECDSA, les conceptions basées sur le hachage comme SPHINCS+ ne sont pas considérées comme vulnérables de manière analogue.

Le schéma a été standardisé par le National Institute of Standards and Technology (NIST) en août 2024 comme FIPS 205 (SLH-DSA), après des années d’examen public.

Le compromis pour la sécurité concerne la taille. Alors que les signatures bitcoin actuelles font 64 octets, les SLH-DSA font 8 kilooctets (KB) ou plus. En conséquence, adopter la SLH-DSA augmenterait fortement la demande d’espace de bloc et ferait monter les frais de transaction.

Ainsi, des propositions telles que SHRIMPS (un autre schéma de signature post-quantique basé sur le hachage) et SHRINCS ont déjà été introduites afin de réduire la taille des signatures sans sacrifier la sécurité post-quantique. Elles reposent toutes deux sur SHPINCS+ tout en visant à conserver ses garanties de sécurité sous une forme plus pratique, efficace en espace, adaptée à l’usage en blockchain.

Le schéma Commit/reveal de Tadge Dryja : un frein d’urgence pour le mempool

Cette proposition, un soft fork suggéré par le co-créateur du Lightning Network Tadge Dryja, vise à protéger les transactions dans le mempool contre un futur attaquant quantique. Elle le fait en séparant l’exécution des transactions en deux phases : Commit et Reveal.

Imaginez informer un interlocuteur que vous allez lui envoyer un email, puis envoyer effectivement cet email. La première étape correspond à la phase de commit, et la seconde à la phase de reveal.

Sur la blockchain, cela signifie que vous publiez d’abord une empreinte digitale scellée de votre intention — seulement un hachage, qui ne révèle rien sur la transaction. La blockchain horodate cette empreinte de façon permanente. Ensuite, lorsque vous diffusez la transaction réelle, votre clé publique devient visible — et oui, un ordinateur quantique qui observe le réseau pourrait en dériver votre clé privée et forger une transaction concurrente pour voler vos fonds.

Mais cette transaction forgée est immédiatement rejetée. Le réseau vérifie : ce dépense a-t-elle une intention préalable enregistrée on-chain ? La vôtre oui. Celle de l’attaquant non — il l’a créée il y a seulement quelques instants. Votre empreinte pré-enregistrée est votre alibi.

Le problème, toutefois, est le coût accru du fait que la transaction est décomposée en deux phases. C’est pourquoi elle est décrite comme un pont intérimaire, pratique à déployer pendant que la communauté travaille à construire des défenses quantiques.

Hourglass V2 : ralentir la dépense des anciennes pièces

Proposé par le développeur Hunter Beast, Hourglass V2 cible la vulnérabilité quantique liée à environ 1,7 million de BTC détenus dans des adresses plus anciennes déjà exposées.

La proposition accepte que ces pièces puissent être volées lors d’une future attaque quantique et cherche à ralentir l’hémorragie en limitant les ventes à un bitcoin par bloc, afin d’éviter une liquidation massive catastrophique dans la nuit qui pourrait faire s’effondrer le marché.

L’analogie est une ruée bancaire : vous ne pouvez pas empêcher les gens de retirer de l’argent, mais vous pouvez limiter le rythme des retraits pour éviter que le système ne s’effondre dans la nuit. La proposition est controversée parce que, même cette restriction limitée, est vue par certains dans la communauté Bitcoin comme une violation du principe selon lequel aucune partie externe ne peut jamais interférer avec votre droit de dépenser vos pièces.

Conclusion

Ces propositions ne sont pas encore activées, et la gouvernance décentralisée de Bitcoin, qui implique des développeurs, des mineurs et des opérateurs de nœuds, signifie que toute mise à niveau est susceptible de prendre du temps à se concrétiser.

Néanmoins, le flux régulier de propositions antérieures au rapport de Google de cette semaine suggère que le problème est sur le radar des développeurs depuis longtemps, ce qui pourrait aider à tempérer les inquiétudes du marché.

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.