
L'informatique quantique est encore bien loin de pouvoir briser la cryptographie à courbes elliptiques.
TechFlow SélectionTechFlow Sélection

L'informatique quantique est encore bien loin de pouvoir briser la cryptographie à courbes elliptiques.
Cet article décortique les conditions réellement nécessaires pour casser l'ECC, ainsi que la distance qui nous sépare encore de ce jour.
Auteur : Derrick Cui
Traduction : TechFlow
Note de la rédaction TechFlow : Bien que les progrès théoriques aient réduit les besoins en matériel quantique nécessaires pour craquer la cryptographie à courbe elliptique de 317 millions de qubits physiques (2022) à 500 000 (2026), le nombre de qubits sur lesquels les ordinateurs quantiques actuels peuvent réellement exécuter des algorithmes est d'environ 105 seulement, ce qui représente encore plusieurs ordres de grandeur d'écart par rapport à une attaque pratique. Cet article décompose les conditions nécessaires pour craquer l'ECC et la distance qui nous sépare de ce jour.
Points clés
Le tableau ci-dessous compare les conditions théoriques nécessaires pour craquer l'ECC (cryptographie à courbe elliptique, utilisée pour TLS, Bitcoin et HTTPS) selon un article de 2026 avec les progrès actuels. Conclusion : nous en sommes loin.
Les plus grands progrès viennent du niveau théorique, par exemple les algorithmes et la conception de la correction d'erreur ont réduit le nombre d'opérations et de qubits nécessaires d'environ 317 millions de qubits physiques (2022) à moins de 500 000 (2026). Le matériel s'est également amélioré (la fidélité des qubits à deux qubits est passée d'environ 90 % en 2005 à plus de 99,9 % aujourd'hui, le temps de cohérence est passé d'environ 1 microseconde à environ 1 milliseconde). Mais l'indicateur matériel le plus crucial — le nombre de qubits disponibles dans une seule machine — n'a presque pas augmenté : environ 105 peuvent exécuter de vrais algorithmes, tandis que le nombre requis est d'environ 500 000.

Estimation du Jour Q (jour où l'informatique quantique craque la cryptographie) :
Justin Drake estime une probabilité de 10 % avant 2030, 50 % avant 2032
L'Institut national des normes et de la technologie / l'Agence de sécurité nationale des États-Unis ont fixé l'objectif d'éliminer les cryptographies vulnérables à 2035
L'informatique quantique n'a pas d'équivalent à la loi de Moore. Les conditions requises ont diminué d'environ 600 fois en quatre ans, tandis que la taille des machines n'a probablement augmenté que de 10 fois au cours de la dernière décennie. Par conséquent, il est impossible de connaître le calendrier réel.
État actuel des progrès en informatique quantique
Définitions :
Qubit physique : nombre total de qubits dans un ordinateur quantique
Qubit logique / qubit de correction d'erreur : nombre de qubits réellement disponibles après correction d'erreur (le concept correspondant dans les ordinateurs classiques est le rapport entre les bits d'information et le nombre total de bits). Par exemple, un code de distance 5 en informatique quantique signifie utiliser environ 49 qubits physiques pour stocker l'information d'1 qubit
Porte non-Clifford : calculs exécutés sur des qubits, difficiles à simuler par des machines classiques. Inclut les portes T
Porte T : opération appliquant une rotation de phase de 45 degrés sur un seul qubit. L'induction des portes T dépend du matériel de l'ordinateur quantique ; pour les ordinateurs quantiques supraconducteurs, des impulsions micro-ondes sont utilisées pour induire cet effet
État magique : qubits préfabriqués et à usage unique, dans lesquels des portes non-Clifford sont预先烘焙 (pré-intégrées). Comme les portes non-Clifford ne peuvent pas être appliquées directement aux qubits de correction d'erreur, vous appliquez indirectement cette porte en consommant des états magiques — via intrication + mesure + correction (un processus appelé "téléportation de porte")
Porte Toffoli : agit sur 3 qubits (2 bits de contrôle, 1 bit cible), ne bascule le bit cible que si les deux bits de contrôle sont à 1. Elle est construite avec environ 7 portes T (4 après optimisation) plus des portes Clifford. Sur des qubits de correction d'erreur, la seule méthode pour appliquer une porte Toffoli est de consommer un état magique
Algorithme de Shor : inventé en 1994, comme méthode pour les ordinateurs quantiques de craquer RSA et ECC (en résolvant le problème de recherche de période)
Syndrome : flux de résultats produits par les qubits utilisés pour détecter si des erreurs se sont produites dans les qubits de données ("qubits de contrôle")
Distillation : processus de combinaison de nombreux états magiques bruités, consommant 15 états bruités pour produire un état beaucoup plus propre
Craquer l'ECC avec l'algorithme de Shor :
En 2026, un article a introduit de nouvelles conceptions de circuits et un "prétraitement" de l'algorithme de Shor, nécessitant moins de calculs pour craquer l'ECC (cela craquerait Bitcoin, Ethereum, SSH, TLS, HTTPS)
Cet article théorise que craquer l'ECC est possible sur un ordinateur quantique supraconducteur, nécessitant environ 1 200 qubits logiques liés sans erreur à environ 90 millions de portes Toffoli. Selon le niveau actuel de correction d'erreur, cela signifie environ 500 000 qubits physiques et plusieurs minutes de temps d'exécution
Pipeline de calcul
Processus approximatif : placer des qubits physiques sur une puce → regrouper de nombreux qubits physiques en chaque qubit logique de correction d'erreur → exécuter les portes de l'algorithme sur les qubits logiques, en consommant des états magiques pour les portes difficiles (non-Clifford) → mesurer et post-traiter sur un ordinateur classique.
Commencer avec des qubits physiques bruités
Défi : placer physiquement suffisamment de qubits dans une machine (lignes de contrôle, puces de décodage, faisceaux laser, câblage, etc.)
Progrès : les améliorations de la conception des algorithmes ont réduit les besoins d'environ 317 millions de qubits (2022) à environ 9 millions (Litinski 2023) puis à 500 000 (2026). Caltech a fixé 6 100 qubits avec des pinces optiques en 2025 (les fixer, pas calculer). La puce Condor d'IBM peut contenir 1 121 qubits, mais est trop bruitée pour exécuter de vrais algorithmes. La plus grande puce ayant exécuté un algorithme réel compte environ 105 qubits (Google Willow, mars 2026)
Les regrouper en qubits logiques fiables via la correction d'erreur
Défi : l'article de 2026 nécessite environ 90 millions de portes Toffoli liées séquentiellement et chacune doit réussir, le taux d'erreur logique par opération doit être inférieur à environ 1/90 000 000. En pratique, l'objectif ("étoile polaire") est un taux d'erreur logique d'environ 10⁻⁹ ou inférieur
Progrès : en 2024, Google a démontré que le taux d'erreur d'1 qubit logique composé de 101 qubits physiques (distance-7) était 2,14 fois inférieur à celui de 49 qubits physiques (distance-5), qui était lui-même 2,14 fois inférieur à celui de 17 qubits physiques (distance-3). Cet article a prouvé que les erreurs diminuent continuellement avec l'augmentation des qubits physiques. Le taux d'erreur de 101 qubits (distance-7) est de 1,4×10⁻³ par cycle ; environ un million de fois trop élevé
Maintenir la correction d'erreur active pour les garder en vie
Défi : le décodage devient plus difficile à mesure que le nombre de qubits augmente. Les ordinateurs quantiques supraconducteurs émettent un round de données de syndrome toutes les 1 microseconde environ, le décodeur classique doit traiter complètement chaque round en moins d'environ 1 microseconde, en continu. Le décodage doit suivre le nombre de qubits ajoutés à l'ordinateur
Progrès : le décodeur à clustering local de Riverlane (Nature Communications, décembre 2025) est le premier décodeur matériel (FPGA) à atteindre moins de 1 microseconde par round tout en étant adaptatif. AlphaQubit 2 de Google (mars 2026) effectue un décodage neuronal en temps réel à moins de 1 microseconde par cycle jusqu'à la distance 11 ; les simulations indiquent qu'un TPU peut atteindre la distance 25. Encore loin de l'échelle de 500 000 qubits
Consommer des états magiques pour exécuter des portes difficiles
Défi : chaque porte difficile (Toffoli) consomme un état magique, et l'ECC en nécessite environ 90 millions. Fabriquer et distiller des états magiques assez rapidement est un goulot d'étranglement majeur de débit. Une usine de distillation est un bloc de qubits logiques + des canaux de routage, au repos pendant le calcul. À l'échelle, les usines représentent généralement environ 2-10 % ou plus du total des qubits physiques
Progrès : la culture d'états magiques (2024) a considérablement réduit le coût par état magique. QuEra a démontré une distillation au niveau logique avec seulement 5 qubits logiques en 2024
Mesure → L'ordinateur classique effectue les calculs mathématiques
Ce n'est pas un goulot d'étranglement. Mesurer les qubits logiques et exécuter un post-traitement classique (résultats de mesure → période → clé privée) est bien compris et peu coûteux.
Quelques frontières de la recherche non discutées ici :
Architectures à horloge rapide et lente
Architectures modulaires / multi-puces
Codes de correction d'erreur sous le seuil
Codes de surface et codes qLDPC : je n'ai pas discuté des progrès d'IBM sur les qLDPC, car ils n'ont jusqu'à présent démontré que des qubits de stockage (mémoire), pas de calcul dessus
Coût des états magiques
Routage / compilation des états magiques
Temps de cohérence
Exécution de stockage et de calcul sur les qubits
Électronique de contrôle cryogénique
Fuites et erreurs connexes
Risques pour Bitcoin
Il y a beaucoup de discours alarmistes sur le fait que l'utilisation de l'ECC par Bitcoin sera craquée. Que signifie vraiment craquer l'ECC pour Bitcoin ?
L'algorithme de Shor permet à un attaquant de récupérer votre clé privée k s'il possède votre clé publique Q. Une fois qu'ils ont fait cela, ils deviennent vous. Ils peuvent signer une transaction transférant vos pièces vers leurs propres mains, et c'est une transaction entièrement valide.
Cependant, les adresses Bitcoin ne sont pas votre clé publique, mais le hachage de votre clé publique (la clé publique passe d'abord par SHA-256 puis par RIPEMD-160). Le hachage est une opération mathématique différente, l'algorithme de Shor ne peut pas le craquer.
Mais, pour autoriser une transaction, vous devez rendre publique la clé publique Q, qui reste永久ement sur la chaîne. Ainsi, toute adresse ayant envoyé des Bitcoin à une autre adresse peut être compromise. Les portefeuilles modernes transfèrent la totalité du solde vers une nouvelle adresse à chaque envoi de Bitcoin, ce qui protège les utilisateurs.
Environ 6,7 millions de BTC sont déjà exposés et pourraient être volés via l'informatique quantique.
Justin Drake a également écrit sur le risque de vol de clé privée dans le temps de bloc Bitcoin de 10 minutes. Les articles qu'il liste montrent que cela pourrait être fait en 9 minutes. Ce problème est beaucoup moins grave que la perte des 6,7 millions de BTC déjà exposés.
La seule façon de vraiment résoudre ce problème est que tout le monde passe à des clés quantiquement sûres (la technologie existe déjà), et après un certain temps, détruise les Bitcoin non transférés. Convaincre la communauté Bitcoin de faire cela sera une tâche ardue.
Risques pour Ethereum
Ethereum utilise la même courbe que Bitcoin (secp256k1) et le même schéma de signature (ECDSA), donc la méthode de craquage sous-jacente est la même : étant donné la clé publique, l'algorithme de Shor récupère la clé privée, le détenteur de la clé privée est le propriétaire du compte.
Ethereum a des comptes persistants, ce qui signifie que les adresses sont réutilisées. Cela signifie que si l'informatique quantique était utilisable aujourd'hui, chaque portefeuille ayant effectué une transaction pourrait être pris en charge.
Remplacer l'ECDSA est simple. Le problème est que les signatures post-quantiques sont beaucoup plus grandes que l'ECDSA, ce qui signifie que les nœuds doivent stocker plus de mémoire. C'est aussi la raison pour laquelle Ethereum passe au zk tout en changeant de schéma de signature.
Cela exige également que chaque utilisateur migre activement de l'ancienne clé vers la nouvelle. Les comptes que les gens n'ont pas transférés doivent être détruits, afin que les pirates ne puissent pas les contrôler.
Explication technique
La cryptographie à clé publique permet à deux personnes de communiquer en toute sécurité sur un réseau non fiable (comme l'Internet public), sans avoir besoin de partager un secret au préalable.
Il existe de nombreux protocoles différents (vous pouvez les voir comme des outils finaux adaptés à des cas d'utilisation spécifiques). Par exemple, l'échange de clés Diffie-Hellman, la signature ECDSA, le chiffrement RSA. Leurs problèmes sous-jacents sont respectivement le logarithme discret, le logarithme discret EC et la factorisation. Le goulot d'étranglement mathématique central difficile à résoudre pour les ordinateurs classiques est la périodicité.
L'opération mathématique réelle que les ordinateurs quantiques sont capables de faire est de trouver la période.
Qu'est-ce que l'ECC
L'ECC (utilisée pour TLS, Bitcoin et HTTPS) est construite sur une rue à sens unique. En partant d'un point public G sur la courbe, "sautez" k fois pour atteindre un nouveau point Q. Sauter vers l'avant est rapide. Mais si quelqu'un vous montre le point de départ (G) et le point d'arrivée (Q), trouver combien de sauts ont été faits est en fait impossible.
Le nombre de sauts k est votre clé privée ; le point d'arrivée Q est votre clé publique. Tout le monde peut voir votre point de départ et d'arrivée, mais vous seul connaissez le nombre de pas entre eux.
L'explication mathématique est :
Les courbes elliptiques sont simplement des ensembles de points sur un corps fini satisfaisant l'équation y² = x³ + ax + b
G est le point de base (public, fixé par la norme). Pour la clé privée k, la clé publique est le point Q = kG
Calculer Q à partir de k par addition par doublement nécessite O(log k) opérations de groupe
Récupérer k à partir de (G, Q) est l'ECDLP (problème du logarithme discret sur courbe elliptique), la méthode classique est par essais et erreurs, donc très lente
L'algorithme de Shor résout l'ECDLP en temps polynomial, le réduisant à la recherche d'une période sur le groupe généré par G

Ceci est une courbe elliptique.

Graphique montrant la multiplication de points EC sur y² ≡ x³ + 7 (mod 17). La courbe et le point de base G sont publics, le point d'arrivée Q est également public. Le secret est k = 6, le nombre de sauts de G à Q. Le calcul vers l'avant (calculer Q = kG) est rapide ; récupérer k à partir de G et Q n'a pas de raccourci classique connu. Cet exemple utilise mod 17, vous pouvez compter les sauts — l'ECC réel utilise un espace modulo d'environ 2²⁵⁶
Comment l'algorithme de Shor craque l'ECC
Craquer l'ECC se résume à une fonction apparemment simple : f(x, y) = xG + yQ, où G est le générateur public, Q est la clé publique que vous attaquez. Comme Q = kG, c'est en fait f(x, y) = (x + ky)G.
Cela a une conséquence : incrémenter l'entrée de (k, −1) ne changera jamais la sortie, car (x + k) + k(y − 1) = x + ky. Donc f se répète le long de diagonales parallèles à travers la grille (x, y), dont la direction encode k (la clé privée).
Trouver cette direction nécessite deux paires (x, y) différentes produisant la même sortie. La méthode classique doit rechercher de telles collisions par force brute.
Les ordinateurs quantiques vous permettent de :
Évaluer f pour toutes les paires (x, y) en une seule fois en superposition, donc toute la grille de rayures existe simultanément dans la machine
Mais vous ne pouvez toujours pas observer — la mesure s'effondre en un point aléatoire, ce qui ne vous dit rien
La transformée de Fourier fait que tout sauf la direction de répétition s'annule mutuellement, produisant un pic de fréquence, qui donne k via quelques opérations mathématiques classiques

Chaque cellule dorée est une paire d'entrée (x, y), produisant le même point de sortie. Elles se répètent avec un pas fixe — vers la droite k, vers le bas 1 — donc la clé privée est encodée dans la direction de la diagonale. (Exemple jouet : k = 2, n = 13. À l'échelle réelle, la grille a 2²⁵⁶ colonnes, vous ne pouvez vérifier qu'une cellule à la fois, c'est pourquoi ce motif est invisible classiquement.)
Prenons un exemple : prenez la courbe y² = x³ + 2x + 2 sur les entiers mod 17. (Ce problème est simple car il est sous mod 17. Habituellement, c'est sous mod 2²⁵⁶) Elle a恰好 n = 19 points, G = (5, 1) génère tous les points. Supposons que ma clé publique soit Q = (0, 6). Votre tâche : trouver k tel que Q = kG. (La réponse est k = 7, car G, 2G, 3G, ... passent依次 par (5,1), (6,3), (10,6), (3,1), (9,16), (16,13), atteignant (0,6) à la 7e étape.)
Configuration. Deux registres de comptage, un pour x, un pour y, chacun stockant des valeurs de 0 à 18. Un registre de travail stocke les points de courbe. La différence clé avec la factorisation : pour RSA, la période r est inconnue, donc les registres doivent être surdimensionnés (2n qubits), le pic est approximatif. Ici n = 19 est public, nous pouvons donc effectuer la QFT exactement sur l'arithmétique mod-19, le pic est parfaitement net à chaque fois.
Phase 1 — Initialisation. Réinitialiser tout. Définir le registre de travail sur le point unité O (le "zéro" de la courbe).
Phase 2 — Superposition. Effectuer une superposition de type Hadamard sur les deux registres de comptage. Ils stockent maintenant toutes les 19 × 19 = 361 paires (x, y) en une seule fois.
Phase 3 — Addition de points (étape d'intrication). Au préalable, calculer classiquement les constantes 2ʲG et 2ʲQ pour chaque position de bit j. Ensuite, selon le contrôle de chaque qubit de comptage, ajouter la constante correspondante au registre de travail. Après la séquence complète, le registre de travail stocke xG + yQ, intriqué avec chaque paire (x, y).
L'état complet est une grande somme intriquée : somme sur les 361 paires Σ |x⟩|y⟩|xG + yQ⟩. Comme Q = 7G, le registre de travail stocke en fait (x + 7y mod 19)G — seulement 19 valeurs différentes. Grouper la somme par valeur du registre de travail :
Tous les (x, y) tels que x + 7y ≡ 0 (mod 19) ⊗ |O⟩
Tous les (x, y) tels que x + 7y ≡ 1 (mod 19) ⊗ |(5, 1)⟩
Tous les (x, y) tels que x + 7y ≡ 2 (mod 19) ⊗ |(6, 3)⟩
... 19 groupes, 19 paires par groupe
Le secret k = 7 est maintenant encodé dans la pente de chaque groupe : chaque groupe est une diagonale à travers la grille (x, y). Mais vous ne pouvez pas le lire directement, car la mesure s'effondre en donnant une paire aléatoire, ne vous disant rien sur la pente.
Phase 4 — QFT inverse + mesure. Appliquer la QFT inverse sur les deux registres de comptage. Les amplitudes se concentrent sur exactement 19 paires (u, v) satisfaisant v ≡ k·u (mod 19). La transformée de Fourier convertit la pente de la ligne en pente dans l'espace des fréquences. La mesure produit aléatoirement l'une de ces 19 paires.

La grille de gauche est l'état après la phase 3. Toutes les 361 paires (x, y) existent en superposition, chaque valeur différente du registre de travail collectant leur famille de diagonales. Vert et orange sont deux groupes. La grille de droite est l'état après la QFT inverse. Toutes les amplitudes s'effondrent sur la ligne unique v ≡ k·u (mod 19).
Post-traitement hors puce :
Mesure (u, v) = (3, 2) : k = 2 · 3⁻¹ mod 19 = 2 · 13 = 26 ≡ 7 ✓ (Vérification : 7G = (0, 6) = Q ✓)
Mesure (u, v) = (5, 16) : k = 16 · 5⁻¹ mod 19 = 16 · 4 = 64 ≡ 7 ✓
Mesure (u, v) = (0, 0) : aucune information, relancer tout résultat u ≠ 0 est valide (18/19 des exécutions).
Nous nous soucions de trouver k parce que k est la clé privée. Vous pouvez maintenant envoyer des messages, et il n'y a aucune différence entre vous et la personne dont la clé a été craquée.
Types d'ordinateurs quantiques
Simplement, les qubits peuvent être fabriqués dans tout système où la probabilité de sortie existe probabilistiquement entre 1 et 0.
Les types de qubits sont :
Circuits supraconducteurs (Google, IBM, Rigetti, IQM) basés sur des circuits LC. Basically, c'est un circuit qui se comporte très comme un atome ("atome artificiel"). Tout comme les électrons existent dans des niveaux d'énergie quantifiés, nous pouvons fabriquer des circuits avec des niveaux d'énergie quantifiés d'oscillation.
Ions piégés (IonQ, Quantinuum). Prendre un atome unique manquants d'un électron, puis utiliser un laser pour créer une superposition, puis照射 un autre laser et photographier pour capturer son état (soit il émet de la lumière soit non, deux états).
Atomes neutres (QuEra, Pasqal, Atom Computing) même idée que les ions (deux états internes d'un atome unique, lus par imagerie), mais les atomes ne sont pas chargés, fixés par des pinces optiques.
Photons (PsiQuantum, Xanadu). Un seul photon a la propriété de polarisation horizontale ou verticale (ou emprunte l'un des deux chemins).
Qubits de spin en silicium (Intel, Diraq, Quantum Motion) la propriété est le spin de l'électron ; ils existent entre spin up ou spin down.
Exercice pour le lecteur
Comme exercice amusant, voici un devoir de mon cours de cryptographie il y a quelques années et ma solution.

Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News













