Les marchés surveillent le risque quantique de Bitcoin alors que les chercheurs prévoient une préparation progressive et prudente

Les investisseurs institutionnels demandent de plus en plus comment le récit autour du Bitcoin quantique influence les hypothèses de sécurité à long terme, même si la menace pratique semble encore lointaine.

L’ampleur réelle de la menace quantique

Les discussions publiques laissent souvent entendre que l’informatique quantique pourrait briser Bitcoin dans un avenir proche. Cependant, des machines assez puissantes pour le faire en utilisant l’algorithme de Shor sont probablement encore à des décennies de distance, et l’exposition réelle est plus limitée que ne le suggèrent des titres sensationnalistes.

Bitcoin s’appuie sur des signatures numériques pour sécuriser la propriété, historiquement ECDSA et, depuis Taproot, aussi des signatures Schnorr dans le cadre de BIP340. Ces deux schémas utilisent la même courbe elliptique, secp256k1, pour dériver des clés publiques à partir de clés privées d’une manière qui est actuellement impossible à inverser avec du matériel classique.

Un ordinateur quantique tolérant aux fautes capable d’exécuter l’algorithme de Shor à une échelle suffisamment significative d’un point de vue cryptographique pourrait, en théorie, résoudre le problème du logarithme discret sur les courbes elliptiques. Cela permettrait à un attaquant de forger des signatures valides et de voler directement des fonds, c’est pourquoi ce vecteur d’attaque attire la plus grande attention.

Un souci secondaire est l’algorithme de Grover, qui offre un gain de vitesse quadratique pour les problèmes de recherche par force brute. Il ne briserait pas directement SHA-256, mais il pourrait réduire le travail nécessaire pour trouver un hachage valide de preuve de travail, ce qui pourrait potentiellement modifier l’économie du minage et les risques de centralisation si un mineur quantique parvenait à dépasser les flottes ASIC actuelles.

De plus, tout avantage de preuve de travail dépendrait encore d’une ingénierie réelle : concevoir et exploiter un mineur quantique supérieur à des ASIC spécialisés constitue un défi immense à part entière, au-delà du simple fait d’exécuter l’algorithme de Grover en laboratoire.

Où Bitcoin est réellement exposé

Les attaques basées sur Shor ne deviennent pertinentes qu’une fois qu’une clé publique est visible en chaîne. Ce profil d’exposition varie significativement selon les types de sorties et les pratiques de portefeuilles, ce qui explique pourquoi le risque quantique pour Bitcoin n’est pas uniforme.

Les coins présentant une exposition à long terme sont ceux pour lesquels la clé publique est révélée lors de la création du UTXO ou reste visible pendant des périodes prolongées. Ce groupe inclut les sorties P2PK des débuts, les adresses réutilisées dont les fonds sont liés à des clés révélées dans des dépenses antérieures, et les sorties Taproot P2TR, qui s’engagent sur une clé modifiée directement dans le UTXO.

Dans ces cas, les clés publiques peuvent être récoltées bien avant qu’aucune dépense n’ait lieu. Cela crée un scénario potentiel de type « récolter maintenant, attaquer plus tard » : si des machines quantiques puissantes existaient à l’avenir, elles pourraient cibler en masse des clés exposées de longue date.

À l’inverse, des types de portefeuilles modernes comme P2PKH (legacy) et P2WPKH (SegWit) utilisent des clés publiques hachées, ne révélant la clé réelle qu’au moment de la dépense. Cependant, cela limite fortement la fenêtre d’attaque : l’attaquant devrait dériver la clé privée et diffuser une transaction contradictoire dans les quelques blocs précédant la confirmation de la dépense légitime.

Les estimations du nombre de coins exposés varient. Certaines analyses suggèrent que 20–50 % de l’offre totale pourraient être vulnérables sous des hypothèses larges. D’autres soutiennent que cela surestime l’exploitabilité pratique, en particulier lorsque de nombreux coins exposés sont fragmentés en petits UTXO ou seulement brièvement visibles lors des courses du mempool.

Un rapport largement cité réduit la sous-partie réellement exposée et concentrée à environ 10 200 BTC, ce qui est significatif, mais loin d’un scénario de disparition systémique. De plus, cette distinction entre surface d’attaque théorique et pratique est essentielle pour une évaluation crédible du risque.

Le goulot d’étranglement quantique tolérant aux fautes

Tous ces scénarios supposent l’existence de grands ordinateurs quantiques tolérants aux fautes fonctionnant à des échelles très au-delà des dispositifs actuels. Aujourd’hui, les systèmes connus publiquement restent bruyants, petits et incapables d’attaques ayant une portée cryptographiquement significative.

Briser les signatures à courbe elliptique de Bitcoin nécessiterait probablement des millions de qubits physiques, avec une correction d’erreurs solide, pour produire suffisamment de qubits logiques stables. Une étude récente estime que les machines pourraient devoir être environ 100 000× plus puissantes que n’importe quel processeur quantique disponible aujourd’hui.

Les avis divergent sur le fait que ce type de matériel arrivera à temps pour avoir un impact sur Bitcoin. Cela dit, de nombreuses prévisions sérieuses convergent vers le milieu des années 2030 jusqu’au milieu des années 2040 comme fenêtre la plus tôt plausible, ce qui laisse du temps à l’écosystème, mais sans excuse pour la complaisance.

Surtout, si une capacité significative apparaît un jour, la réponse devra avoir été planifiée, testée et coordonnée des années à l’avance. C’est pourquoi la discussion est passée de la science-fiction à un problème d’ingénierie et de gouvernance.

Normes post-quantiques et parcours de migration

Le défi central est de savoir comment Bitcoin pourrait migrer vers une cryptographie résistante aux attaques quantiques, dans des limites strictes de débit, avec une gouvernance prudente, et des incitations inégales entre détenteurs et prestataires de services.

En 2024, le NIST a finalisé son premier ensemble de normes de cryptographie post-quantique, incluant ML-DSA basé sur les treillis (Dilithium) et SLH-DSA (SPHINCS+). Ces schémas deviennent des candidats par défaut pour les grands systèmes qui doivent se préparer à des opérations sûres face au quantique.

Pour Bitcoin, toute migration réaliste se ferait probablement par étapes. De nouveaux types de sorties et des valeurs par défaut de portefeuilles seraient introduits, possiblement avec des transactions hybrides qui nécessitent à la fois des preuves classiques et post-quantiques pendant une longue période de transition.

Cependant, les signatures post-quantiques s’accompagnent généralement de compromis : elles sont souvent plus volumineuses et plus coûteuses en calcul pour être vérifiées, ce qui augmente l’usage de l’espace de bloc, les besoins en bande passante et les coûts de validation pour les nœuds complets. Une conception soignée est nécessaire pour éviter de mettre à mal la capacité de montée en charge du réseau et sa décentralisation.

Il existe plusieurs directions plausibles au-delà d’un seul plan. Les options incluent des types de sorties capables du quantique, des politiques hybrides pour une fenêtre de transition définie, et des valeurs par défaut de portefeuilles qui réduisent progressivement l’exposition à long terme des clés publiques. Un soft fork est le mécanisme le plus plausible pour introduire de nouveaux types de script, tandis qu’un hard fork reste un dernier recours à haut risque, en raison de la possibilité de divisions de chaîne.

BIP 360 et P2MR comme durcissement progressif

BIP 360, récemment fusionné dans le dépôt officiel des BIPs, est la tentative la plus concrète à ce jour pour traduire une préoccupation de haut niveau en une atténuation incrémentale, native à Bitcoin, axée sur les schémas d’exposition de longue durée.

La proposition introduit un nouveau type de sortie appelé Pay-to-Merkle-Root (P2MR), conçu pour être fonctionnellement similaire aux arbres de script de Taproot, mais supprimant délibérément les dépenses par chemin de clé. À la place, toutes les dépenses doivent révéler un chemin de script et une preuve de Merkle.

Conceptuellement, P2MR, c’est des « arbres de scripts façon Taproot, mais sans chemin de clé ». Cette conception cible directement les clés publiques encastrées de longue durée qui sont les plus vulnérables aux scénarios « récolter maintenant, attaquer plus tard » liés à l’algorithme de Shor, sans engager immédiatement Bitcoin dans des schémas de signatures post-quantiques lourds.

Le principal compromis est la taille : les dépenses P2MR portent des témoins (witnesses) plus grands comparées aux dépenses compactes par chemin de clé Taproot. Toutefois, les partisans soutiennent qu’accepter des scripts légèrement plus volumineux est justifié si cela réduit significativement l’exposition des clés publiques sur de longues durées.

BIP 360 présente P2MR comme un élément de base plutôt que comme une réponse finale. Il traite une partie du problème — les sorties à longue exposition — tandis que les risques de course du mempool sur courte durée et le passage à des signatures post-quantiques complètes nécessiteraient des propositions supplémentaires et un consensus.

UTXO legacy et dilemmes de gouvernance

La proposition souligne aussi une réalité plus inconfortable : même avec de nouveaux types de sorties et de meilleures valeurs par défaut de portefeuilles, une part non négligeable de l’ensemble UTXO restera probablement indéfiniment sur des scripts legacy, créant des poches de vulnérabilité structurelle.

Certaines détentions sont simplement dormantes ou perdues, avec des propriétaires qui ne signeront jamais une nouvelle transaction. D’autres reposent dans des arrangements de garde institutionnelle ou des configurations sur mesure qui bougent lentement. En outre, l’inertie humaine simple fait que certains utilisateurs ne migreront pas volontairement tant qu’une menace ne semblera pas immédiate.

Si jamais une capacité quantique significativement pertinente apparaissait, certaines pièces exposées de longue date dont les propriétaires sont injoignables pourraient, en principe, être balayées par quiconque parviendrait à dériver leurs clés privées en premier. Même si cela est traité comme un vol plutôt que comme une défaillance du protocole, l’impact sur le marché pourrait être sévère.

La liquidation soudaine de grands amas dormants pourrait briser la confiance, déclencher des débats de politique d’urgence et alimenter des craintes de surplomb d’offre dissimulée. Cependant, les propositions visant à geler, récupérer (claw back), ou traiter autrement les coins non migrés posent des questions explosives autour de l’immutabilité, de la neutralité et des droits de propriété qui touchent au cœur du contrat social de Bitcoin.

La possibilité d’une impasse de gouvernance est une raison pour laquelle une planification précoce et mesurée est si importante. Une fois qu’une attaque quantique crédible est en cours, il peut rester peu de temps ou de consensus pour improviser des corrections radicales.

Risques, calendriers et préparation réaliste

Dans le débat plus large sur le risque quantique pour bitcoin, la plupart des analystes sérieux s’accordent aujourd’hui sur quelques points : le défi est réel, les calendriers sont incertains, et la surface d’attaque est très inégale selon les différents types de sorties et les pratiques de portefeuilles.

Il est important de noter que l’écosystème ne part pas de zéro. Les développeurs explorent déjà des améliorations compatibles avec un soft fork, de nouveaux designs de sorties comme P2MR, et des stratégies de migration éclairées par des normes émergentes dans d’autres industries. C’est précisément le genre de travail que les détenteurs institutionnels à long horizon veulent voir.

La partie la plus difficile est la coordination. Toute transition significative pourrait prendre des années, être politiquement controversée, et être compliquée par des coins qui ne bougent jamais. Cela dit, la culture d’upgrade prudente de Bitcoin est aussi une force : elle permet des changements progressifs avec option d’adhésion, sans forcer l’ensemble du réseau à une date limite de hard fork précipitée.

Dans ce contexte, le profil de risque du « bitcoin quantique » ressemble moins à une falaise existentielle imminente qu’à un défi d’ingénierie de longue durée. Avec la recherche en cours, une conception prudente des portefeuilles et le durcissement progressif du protocole, le réseau a encore le temps de se préparer.

En fin de compte, la posture rationnelle est claire : mieux vaut se préparer que paniquer. En traitant le quantique comme une menace sérieuse mais gérable, Bitcoin peut continuer d’évoluer son modèle de sécurité sans sacrifier les propriétés qui l’ont rendu précieux en premier lieu.