9 minutes pour cracker un portefeuille : la publication sur l’ordinateur quantique de Google secoue le monde de la cryptographie, le « moment Y2K » de Bitcoin arrive-t-il ?

Auteur : Kapiqila, Deepchao TechFlow

Le 31 mars, l’équipe Google Quantum AI a publié un livre blanc. Le titre est banal, mais le contenu est explosif.

La conclusion centrale de l’article : pour casser le chiffrement à courbe elliptique (ECC-256) protégeant les portefeuilles Bitcoin et Ethereum, les ressources de calcul quantique nécessaires sont environ 20 fois moins élevées que ce qui avait été estimé auparavant. Plus précisément, moins de 1200 qubits logiques et 90 000 000 portes Toffoli suffisent pour effectuer la cassure sur un ordinateur quantique supraconducteur avec moins de 500 000 qubits physiques, en ne prenant que quelques minutes.

Le même jour, Caltech et la startup de matériel quantique Oratomic ont publié un autre article, dont la conclusion est encore plus agressive : sur un ordinateur quantique reposant sur une architecture d’atomes neutres, il suffit d’environ 10 000 qubits physiques au minimum pour lancer l’attaque, et 26 000 qubits quantiques peuvent casser ECC-256 en environ 10 jours.

L’addition de ces deux articles forme l’avertissement quantique le plus sérieux de l’histoire de l’industrie de la cryptographie.

De la « menace lointaine théorique » au « compte à rebours qu’on peut compter »

Pour comprendre l’impact de ces deux articles, il faut regarder une chronologie : en 2012, la communauté académique estimait que casser l’ECC-256 nécessitait environ 1 milliard de qubits physiques. En 2023, l’article de Daniel Litinski a ramené ce chiffre à environ 9 millions. Le nouvel article de Google l’abaisse à moins de 500 000. Oratomic va encore plus loin, en le ramenant à 10 000.

En vingt ans, compression de cinq ordres de grandeur.

Cela signifie que le cadre de discussion sur la menace quantique a été complètement modifié. Le récit dominant d’hier était : « les ordinateurs quantiques sont encore à des dizaines d’années de pouvoir casser le chiffrement ». Aujourd’hui, cela devient : « si les progrès matériels s’accélèrent de façon non linéaire, la fenêtre pourrait n’être que de cinq à dix ans ». Un chercheur de la Fondation Ethereum, Justin Drake (également co-auteur de l’article de Google), estime qu’en 2032, la probabilité qu’un ordinateur quantique casse les clés privées secp256k1 ECDSA sera d’au moins 10 %.

L’article de Google décrit deux scénarios d’attaque.

Le premier est l’« attaque immédiate » (on-spend attack). Lorsqu’un utilisateur Bitcoin lance une transaction, la clé publique est brièvement exposée dans le mempool. Un ordinateur quantique assez rapide peut déduire la clé privée à partir de la clé publique en environ 9 minutes, et lancer une transaction concurrente pour voler les fonds avant la confirmation de la transaction. Compte tenu du temps moyen de génération des blocs de Bitcoin d’environ 10 minutes, l’article estime que la probabilité de réussite de ce type d’attaque est d’environ 41 %.

Dans le domaine de la cryptographie, une probabilité de cassure de 41 % n’est pas une erreur statistique : c’est un schéma de signature déjà compromis.

Le second est l’« attaque statique » (at-rest attack), visant les portefeuilles sommeil dont la clé publique est déjà exposée sur la chaîne. Ce type d’attaque n’est pas soumis à une contrainte de temps : l’ordinateur quantique peut calculer à son rythme. L’article estime qu’environ 6,9 millions de BTC (soit un tiers de l’offre totale) se trouvent dans cet état d’exposition, dont environ 1,7 million de pièces provenant de l’époque de Satoshi, ainsi qu’un grand volume de fonds dont les clés publiques ont été exposées à cause de la réutilisation d’adresses.

Au prix actuel, la valeur de ces 6,9 millions de BTC dépasse 450 milliards de dollars.

Taproot : voulait améliorer la confidentialité, mais a élargi la surface d’attaque

Une découverte surprenante dans l’article est que la mise à niveau Taproot de Bitcoin en 2021 a créé de nouvelles vulnérabilités du point de vue de la sécurité quantique. Taproot vise à améliorer l’efficacité des transactions et la confidentialité, en adoptant un schéma de signatures Schnorr. Mais la caractéristique des signatures Schnorr est que la clé publique est exposée par défaut sur la chaîne, ce qui supprime la couche de protection « hachage avant exposition » présente dans l’ancien format d’adresse (P2PKH).

Autrement dit, l’amélioration de Taproot en matière de sécurité traditionnelle ouvre précisément une porte du point de vue de la sécurité quantique. Ce changement élargit le pool de Bitcoin vulnérable aux attaques quantiques : des premières pièces et des adresses réutilisées, à tous les portefeuilles utilisant Taproot.

Ethereum : le problème est plus grand, mais la préparation arrive plus tôt

Si le risque de Bitcoin est au niveau « portefeuille », celui d’Ethereum est au niveau « infrastructure ».

L’article de Google indique qu’Ethereum est exposé aux attaques quantiques à cinq niveaux : portefeuilles personnels, clés de gestion des contrats intelligents, validation du jalonnement PoS, réseaux Layer 2, et mécanismes d’échantillonnage de disponibilité des données. L’article estime que les 1000 plus grands portefeuilles d’Ethereum détiennent environ 20,5 millions d’ETH, et qu’un ordinateur quantique qui casse une clé toutes les 9 minutes peut vider l’ensemble en moins de 9 jours. Au prix actuel de l’ETH, ces actifs valent environ 41,5 milliards de dollars.

Le problème plus profond réside dans le risque systémique. Sur Ethereum, environ 200 milliards de dollars de stablecoins et d’actifs tokenisés dépendent de signatures par clés administrateur ; environ 37 millions d’ETH jalonnés sont certifiés via les mêmes signatures numériques vulnérables. Si un grand pool de jalonnement est compromis, les attaquants pourraient même perturber le mécanisme de consensus lui-même.

Cependant, Ethereum présente un avantage structurel : le temps de génération des blocs n’est que de 12 secondes ; la plupart des transactions sont confirmées en moins d’une minute ; et un grand nombre de transactions utilisent des mempools privés. Cela rend la faisabilité des « attaques immédiates » sur Ethereum beaucoup plus faible que sur Bitcoin.

La bonne nouvelle, c’est que la communauté Ethereum réagit de manière plus proactive.

La semaine dernière, la Fondation Ethereum a lancé pq.ethereum.org, qui rassemble huit ans de résultats de recherche post-quantique, et plus de 10 équipes de clients font avancer le développement et les tests du réseau de manière hebdomadaire. Vitalik Buterin a également publié auparavant une feuille de route de résistance quantique. En comparaison, la culture de gouvernance de la communauté Bitcoin est plus conservatrice : la proposition BIP-360 (qui introduit un format de portefeuille résistant aux attaques quantiques) a certes été fusionnée dans le dépôt BIP en février, mais elle ne traite qu’un type de problème d’exposition de clés publiques ; la migration complète de la cryptographie nécessite des changements de protocole à plus grande échelle.

Réaction de la communauté : panique, rationalité, et « ce n’est pas non plus seulement notre problème »

Dans l’industrie de la cryptographie, les réactions se sont naturellement fragmentées en plusieurs camps.

Le camp de la panique, représenté par le CEO de Project Eleven Alex Pruden : « Cet article réfute directement chacun des arguments utilisés par l’industrie de la cryptographie pour ignorer la menace quantique. » Les mots de Haseeb Qureshi, associé chez Dragonfly, sur X sont encore plus directs : « Le post-quantique n’est plus un exercice. »

Le camp rationnel et optimiste, représenté par CZ. Il estime que les cryptomonnaies ont seulement besoin de passer à des algorithmes résistants aux attaques quantiques ; « inutile de paniquer ». Cette affirmation est correcte sur le plan technique, mais elle ignore un point clé : une blockchain décentralisée ne peut pas imposer aux utilisateurs les mises à jour logicielles comme le font une banque ou un réseau militaire. La durée de migration de l’infrastructure Bitcoin — des portefeuilles des utilisateurs aux bourses qui prennent en charge le changement jusqu’au nouveau format d’adresse — pourrait demander cinq à dix ans, même si toutes les parties parviennent à un consensus aujourd’hui.

Le camp « tout peut être cassé » souligne que l’informatique quantique ne menace pas seulement les blockchains : l’ensemble du système bancaire mondial, le transfert SWIFT, les bourses de valeurs, les communications militaires, et les sites HTTPS dépendent tous du même système de cryptographie. L’article de Google répond positivement à cela : les systèmes centralisés peuvent pousser des mises à jour aux utilisateurs, alors qu’une blockchain décentralisée ne le peut pas. C’est la différence fondamentale.

L’humour le plus froid vient de Musk : « Au moins, si vous oubliez le mot de passe du portefeuille, il sera possible de le retrouver à l’avenir. »

Conflits d’intérêts et remise sur la rationalité

Les deux articles ne sont pas « de la science pure ».

Dans le papier Caltech/Oratomic, les 9 auteurs sont tous actionnaires d’Oratomic, dont 6 sont des employés de l’entreprise. Cet article est à la fois un résultat scientifique et une publicité commerciale pour la feuille de route matérielle d’atomes neutres de l’entreprise. L’article de Google n’est pas non plus totalement neutre : Google fixe en interne 2029 comme date limite pour la migration de son propre système vers la cryptographie post-quantique, et les conclusions de l’article correspondent très étroitement à cette décision commerciale. De plus, pour des raisons de sécurité, Google n’a pas publié les conceptions réelles de circuits quantiques, mais a vérifié la validité des résultats auprès du gouvernement américain via des preuves à divulgation nulle (zero-knowledge proofs).

Les conflits d’intérêts des articles doivent être relativisés, mais la tendance elle-même n’a pas besoin d’être relativisée. À chaque fois que quelqu’un prétend que « la menace quantique est exagérée », le papier suivant réduit encore d’un ordre de grandeur le nombre de qubits requis.

À combien de temps du « Q-Day » ?

À l’heure actuelle, les ordinateurs quantiques les plus avancés disposent d’environ 6000 qubits, et un temps de cohérence d’environ 13 secondes. De 6000 qubits à ceux de l’article de Google (500 000) — ou des 10 000 revendiqués par Oratomic — il reste un immense fossé technique à franchir.

Mais l’image donnée par l’investisseur crypto McKenna mérite d’être retenue : « Vous pouvez imaginer le Q-Day comme un Y2K, mais cette fois, c’est vraiment. »

Le cofondateur de StarkWare, Eli Ben-Sasson, appelle la communauté Bitcoin à accélérer les efforts autour de BIP-360. De son côté, Google indique travailler avec Coinbase, l’Institut de recherche sur la blockchain de Stanford et la Fondation Ethereum pour faire avancer une migration responsable.

Le débat n’est plus « est-ce que l’informatique quantique peut casser la cryptographie ? », mais « l’industrie de la cryptographie peut-elle terminer la migration avant que le matériel ne soit à la hauteur ? ». Le calendrier 2029 de Google, ainsi que la réduction brutale des besoins en qubits dans l’article d’Oratomic, laissent au secteur une marge de manœuvre plus courte que quiconque ne l’avait anticipé.

Les 1,1 million de BTC de Satoshi restent endormis et ne peuvent pas migrer eux-mêmes vers des adresses quantiquement sûres. Si les ordinateurs quantiques arrivent en premier, cet héritage numérique d’une valeur dépassant 70 milliards de dollars deviendra l’objectif du plus grand « sauvetage de naufrage numérique » de l’histoire. L’article de Google introduit même, à cette fin, un cadre juridique par analogie avec les « droits de sauvetage numérique » (digital salvage), laissant entendre que les gouvernements de différents pays pourraient devoir légiférer pour traiter ces actifs dormants qui ne peuvent pas être migrés.

C’est un problème que n’avait pas prévu un livre blanc Bitcoin : si la barrière mathématique qui protège la propriété privée est elle-même percée, « Code is Law » peut-il encore tenir ?