9 minutes pour pirater un portefeuille : l’article de Google sur l’informatique quantique secoue le monde de la cryptographie, l’« heure Y2K » du Bitcoin est-elle arrivée ?
TechFlow SélectionTechFlow Sélection
9 minutes pour pirater un portefeuille : l’article de Google sur l’informatique quantique secoue le monde de la cryptographie, l’« heure Y2K » du Bitcoin est-elle arrivée ?
La superposition de ces deux articles constitue l’avertissement le plus sérieux jamais lancé à ce jour par le secteur de la cryptographie concernant la menace quantique.
Dédié à des analyses Web3 approfondiesAuteur : Capilera, TechFlow
Le 31 mars, l’équipe Google Quantum AI a publié un livre blanc au titre anodin mais au contenu fracassant.
La conclusion centrale de l’article : les ressources quantiques nécessaires pour casser le chiffrement à courbe elliptique (ECC-256) protégeant les portefeuilles Bitcoin et Ethereum sont environ 20 fois inférieures aux estimations antérieures. Plus précisément, moins de 1 200 qubits logiques et 90 millions de portes Toffoli suffiraient pour mener cette attaque sur un ordinateur quantique supraconducteur utilisant moins de 500 000 qubits physiques, en quelques minutes seulement.
Le même jour, le California Institute of Technology (Caltech) et la start-up spécialisée dans le matériel quantique Oratomic ont publié un autre article dont la conclusion est encore plus radicale : un ordinateur quantique reposant sur une architecture d’atomes neutres pourrait lancer une attaque avec seulement environ 10 000 qubits physiques, et réussir à casser ECC-256 en environ 10 jours avec 26 000 qubits.
Prises ensemble, ces deux publications constituent l’avertissement le plus sérieux jamais lancé à l’industrie du chiffrement concernant la menace quantique.
Du « risque théorique lointain » à un « compte à rebours dont on peut désormais calculer les jours »
Pour mesurer l’impact de ces deux articles, il faut examiner la chronologie suivante : en 2012, la communauté scientifique estimait qu’il fallait environ 1 milliard de qubits physiques pour casser ECC-256 ; en 2023, l’article de Daniel Litinski ramenait ce chiffre à environ 9 millions ; la nouvelle publication de Google le fait descendre sous la barre des 500 000 ; Oratomic va encore plus loin, l’abaissant à 10 000.
Cinq ordres de grandeur réduits en vingt ans.
Cela signifie que le cadre de discussion autour de la menace quantique a totalement changé. Le récit dominant était auparavant « les ordinateurs quantiques sont encore à des décennies de pouvoir casser le chiffrement », tandis qu’il devient aujourd’hui « si les progrès matériels s’accélèrent de façon non linéaire, la fenêtre d’opportunité pourrait ne plus durer que cinq à dix ans ». Justin Drake, chercheur à l’Ethereum Foundation (et coauteur de l’article de Google), estime qu’en 2032, la probabilité qu’un ordinateur quantique parvienne à casser une clé privée ECDSA secp256k1 atteindra au moins 10 %.
L’article de Google décrit deux scénarios d’attaque.
Le premier est l’« attaque immédiate » (on-spend attack). Lorsqu’un utilisateur Bitcoin initie une transaction, sa clé publique est brièvement exposée dans le mempool. Un ordinateur quantique suffisamment rapide pourrait alors déduire la clé privée correspondante depuis la clé publique en environ 9 minutes, et lancer une transaction concurrente avant la confirmation de la transaction originale afin de voler les fonds. Compte tenu du temps moyen de génération d’un bloc Bitcoin (environ 10 minutes), l’article estime que la probabilité de succès de ce type d’attaque serait d’environ 41 %.
Dans le domaine de la cryptographie, une probabilité de 41 % ne relève pas d’une simple erreur statistique, mais indique qu’un schéma de signature est déjà considéré comme compromis.
Le second type est l’« attaque statique » (at-rest attack), dirigée contre les portefeuilles inactifs dont la clé publique est déjà exposée sur la chaîne. Cette attaque n’est soumise à aucune contrainte temporelle : l’ordinateur quantique peut procéder à ses calculs à son propre rythme. Selon l’article, environ 6,9 millions de BTC (soit un tiers de l’offre totale) seraient dans cet état d’exposition, y compris environ 1,7 million de BTC datant de l’ère de Satoshi Nakamoto, ainsi qu’une grande partie des fonds rendus vulnérables par la réutilisation d’adresses.
Au cours des prix actuels, ces 6,9 millions de BTC valent plus de 45 milliards de dollars américains.
Taproot : une mise à niveau destinée à renforcer la confidentialité, qui élargit en réalité la surface d’attaque
Une découverte inattendue mentionnée dans l’article est que la mise à niveau Taproot de Bitcoin, effectuée en 2021, a créé une nouvelle vulnérabilité du point de vue de la sécurité quantique. Taproot visait à améliorer l’efficacité et la confidentialité des transactions en adoptant le schéma de signature Schnorr. Or, une caractéristique du schéma Schnorr est que la clé publique est exposée par défaut sur la chaîne, supprimant ainsi la couche de protection offerte par les anciens formats d’adresses (P2PKH), qui impliquaient un hachage préalable avant toute exposition.
Autrement dit, les améliorations apportées par Taproot en matière de sécurité traditionnelle ouvrent justement une brèche du point de vue de la sécurité quantique. Cela étend le bassin de bitcoins vulnérables aux attaques quantiques, qui ne comprenait jusqu’alors que les pièces anciennes et les adresses réutilisées, à tous les portefeuilles utilisant Taproot.
Ethereum : un problème plus grave, mais une préparation plus avancée
Si Bitcoin fait face à un risque au niveau des « portefeuilles », le problème d’Ethereum est de nature « infrastructurelle ».
L’article de Google précise qu’Ethereum est exposé aux attaques quantiques sur cinq niveaux : les portefeuilles personnels, les clés de gestion des contrats intelligents, la validation des engagements PoS, les réseaux de couche 2 (Layer 2), ainsi que le mécanisme d’échantillonnage de disponibilité des données. L’article estime que les 1 000 plus grands portefeuilles Ethereum détiennent environ 20,5 millions d’ETH, et qu’un ordinateur quantique capable de casser une clé toutes les 9 minutes pourrait les vider entièrement en moins de 9 jours. À la valeur actuelle de l’ETH, ces actifs représentent environ 41,5 milliards de dollars américains.
Un problème encore plus profond réside dans le risque systémique. Environ 200 milliards de dollars américains de stablecoins et d’actifs tokenisés sur Ethereum dépendent de signatures électroniques gérées par des clés d’administrateur, tandis que quelque 37 millions d’ETH engagés reposent sur des signatures numériques tout aussi vulnérables. Si un important pool de staking venait à être compromis, les attaquants pourraient même perturber le mécanisme de consensus lui-même.
Toutefois, Ethereum bénéficie d’un avantage structurel : un temps de génération de bloc de seulement 12 secondes, une confirmation majoritaire des transactions en moins d’une minute, et une utilisation massive de mempools privés, ce qui rend l’« attaque immédiate » nettement moins réalisable sur Ethereum que sur Bitcoin.
La bonne nouvelle est que la communauté Ethereum réagit de façon plus proactive.
L’Ethereum Foundation a récemment lancé le site pq.ethereum.org, qui rassemble huit années de recherches post-quantiques, tandis que plus d’une dizaine d’équipes clientes travaillent chaque semaine sur le développement et les tests d’un réseau de test. Vitalik Buterin a également publié précédemment une feuille de route pour la résistance quantique. Par comparaison, la culture de gouvernance de la communauté Bitcoin est plus conservatrice : bien que la proposition BIP-360 (qui introduit un format de portefeuille résistant aux attaques quantiques) ait été intégrée au dépôt BIP en février, elle ne résout qu’un seul type d’exposition de clés publiques, tandis qu’une migration cryptographique complète exigera des modifications protocolaires bien plus vastes.
Réactions de la communauté : panique, rationalité, et « Ce n’est pas uniquement notre problème »
Les réactions de l’industrie du chiffrement se sont, comme prévu, divisées en plusieurs camps.
Le camp de la « panique » est incarné par Alex Pruden, PDG de Project Eleven : « Cet article contredit directement chacun des arguments invoqués par l’industrie du chiffrement pour ignorer la menace quantique. » Haseeb Qureshi, associé chez Dragonfly, s’exprime sur X (ex-Twitter) de façon encore plus directe : « La transition vers la cryptographie post-quantique n’est plus un exercice. »
Le camp de l’« optimisme rationnel » est représenté par CZ. Selon lui, les cryptomonnaies n’ont besoin que de migrer vers des algorithmes résistants aux attaques quantiques — « pas besoin de paniquer ». Techniquement, cette affirmation est correcte, mais elle néglige un point essentiel : une blockchain décentralisée ne peut pas imposer une mise à jour logicielle comme le peuvent une banque ou un réseau militaire. Le cycle de migration de l’infrastructure Bitcoin — des portefeuilles utilisateurs aux plateformes d’échange, en passant par les nouveaux formats d’adresses — pourrait prendre de cinq à dix ans, même si un consensus était immédiatement atteint entre toutes les parties.
Le camp « tout peut être craqué » souligne que l’informatique quantique ne menace pas uniquement les blockchains : les systèmes bancaires mondiaux, les transferts SWIFT, les bourses d’actions, les communications militaires et les sites HTTPS reposent tous sur les mêmes systèmes cryptographiques. L’article de Google répond explicitement à ce point : les systèmes centralisés peuvent pousser des mises à jour aux utilisateurs, tandis que les blockchains décentralisées ne le peuvent pas. Il s’agit là d’une différence fondamentale.
L’humour le plus glacial revient à Elon Musk : « Au moins, si vous oubliez le mot de passe de votre portefeuille, vous pourrez le retrouver à l’avenir. »
Conflits d’intérêts et réduction de la crédibilité rationnelle
Ces deux articles ne sont pas des travaux « purement académiques ».
Les neuf auteurs de l’article Caltech/Oratomic sont tous actionnaires d’Oratomic, dont six sont également employés de la société. Cet article est à la fois un résultat scientifique et une opération de communication commerciale promouvant la voie technologique d’Oratomic basée sur les atomes neutres. L’article de Google n’est pas non plus entièrement neutre : Google s’est fixé une date limite interne de 2029 pour migrer l’ensemble de ses systèmes vers la cryptographie post-quantique, une échéance parfaitement cohérente avec les conclusions de l’article. En outre, pour des raisons de sécurité, Google n’a pas divulgué la conception réelle du circuit quantique, mais a plutôt utilisé des preuves à divulgation nulle de connaissance (zero-knowledge proofs) pour valider la validité de ses résultats auprès du gouvernement américain.
Les conflits d’intérêts liés à ces articles doivent être pris en compte pour en moduler la crédibilité, mais la tendance générale elle-même ne saurait être remise en cause. Chaque fois que quelqu’un affirme que « la menace quantique est exagérée », le prochain article vient réduire d’un ordre de grandeur supplémentaire le nombre de qubits requis.
À quelle distance sommes-nous du « Jour-Q » ?
L’ordinateur quantique le plus avancé actuellement disponible comporte environ 6 000 qubits, avec un temps de cohérence d’environ 13 secondes. Passer de 6 000 qubits aux 500 000 requis par l’article de Google (ou aux 10 000 revendiqués par Oratomic) demeure un fossé technique colossal.
Toutefois, la métaphore de l’investisseur spécialisé en cryptomonnaies McKenna mérite d’être retenue : « Vous pouvez imaginer le Jour-Q comme le bug de l’an 2000, mais cette fois-ci, c’est vrai. »
Eli Ben-Sasson, cofondateur de StarkWare, appelle la communauté Bitcoin à accélérer la mise en œuvre de la BIP-360. Google, de son côté, affirme collaborer activement avec Coinbase, le Stanford Blockchain Research Institute et l’Ethereum Foundation afin de favoriser une transition responsable.
Le débat ne porte plus sur la question de savoir « si l’informatique quantique peut ou non casser le chiffrement », mais plutôt sur « si l’industrie du chiffrement parviendra à accomplir sa transition avant que le matériel ne rattrape ce retard ». L’échéance de 2029 fixée par Google, combinée à la réduction drastique du nombre de qubits requis selon l’article d’Oratomic, réduit considérablement la marge de manœuvre dont dispose l’industrie — bien davantage que quiconque ne l’avait anticipé.
Les 1,1 million de BTC endormis de Satoshi Nakamoto ne peuvent pas migrer d’eux-mêmes vers des adresses sécurisées contre les attaques quantiques. Si les ordinateurs quantiques arrivent en premier, cet héritage numérique, évalué à plus de 70 milliards de dollars américains, deviendra la cible la plus importante de l’« épave numérique » de l’histoire. L’article de Google introduit même une analogie juridique de « droit de récupération numérique » (digital salvage), suggérant que les gouvernements devront probablement légiférer pour traiter ces actifs inactifs non migrables.
Il s’agit d’un problème que le livre blanc de Bitcoin n’avait pas prévu : si la barrière mathématique protégeant la propriété privée est elle-même franchie, « le code est la loi » reste-t-il encore valide ?
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
