Menace quantique et crypto : comment protéger ses actifs

Les ordinateurs quantiques pourraient casser les clés privées Bitcoin en quelques heures d’ici 10 à 15 ans, selon les estimations du NIST. Aujourd’hui, chaque wallet crypto repose sur une cryptographie à courbe elliptique (ECDSA) conçue pour résister aux ordinateurs classiques, pas quantiques. La bonne nouvelle : la transition post-quantique est en marche, et des solutions existent pour sécuriser vos actifs maintenant.

Au programme

  • La cryptographie ECDSA protège 4 millions de BTC exposés dans des adresses publiques réutilisées, selon des analyses on-chain de Glassnode
  • Le NIST a finalisé 3 standards post-quantiques en août 2024 (FIPS 203, 204, 205), une étape clé pour la migration des protocoles blockchain
  • Ethereum prépare une migration vers des signatures post-quantiques dans sa feuille de route, Bitcoin étudie plusieurs BIP en ce sens

Pourquoi les ordinateurs quantiques menacent-ils la crypto ?

La cryptographie qui sécurise Bitcoin, Ethereum et la quasi-totalité des blockchains publiques repose sur 2 problèmes mathématiques réputés insolubles pour un ordinateur classique : la factorisation de grands entiers (RSA) et le logarithme discret sur courbe elliptique (ECDSA/secp256k1).

Un ordinateur quantique suffisamment puissant peut résoudre ces 2 problèmes grâce à l’algorithme de Shor, publié en 1994. La question n’est plus théorique. En décembre 2024, Google a présenté sa puce Willow, capable d’exécuter en 5 minutes un calcul qui prendrait 10 septillions d’années à un supercalculateur classique, selon Reuters.

Willow ne casse pas encore ECDSA : il faudrait environ 4 000 qubits logiques stables pour menacer une clé 256 bits, alors que Willow en compte 105. Mais la progression est exponentielle. Les experts sérieux donnent une fenêtre de 10 à 20 ans avant qu’un tel ordinateur soit opérationnel.

Comment l’attaque fonctionne-t-elle concrètement ?

L’attaque quantique cible un maillon précis : la dérivation de clé privée depuis la clé publique. Quand vous signez une transaction, votre clé publique est temporairement exposée sur la blockchain. Un attaquant équipé d’un ordinateur quantique assez puissant aurait théoriquement le temps de retrouver la clé privée correspondante avant que la transaction soit confirmée.

Ce vecteur est dit “transit attack”. Il exige d’agir dans la fenêtre de confirmation (environ 10 minutes pour Bitcoin). Plus subtil : les adresses qui ont déjà envoyé une transaction exposent leur clé publique de façon permanente dans l’historique de la blockchain. Ces adresses sont vulnérables à une “harvest now, decrypt later” attack : un acteur stocke les clés publiques aujourd’hui pour les casser plus tard, quand les machines quantiques seront disponibles.

Vecteurs d'attaque quantique sur Bitcoin Schéma illustrant les deux principales menaces quantiques : l'attaque en transit lors d'une transaction et l'attaque différée sur les adresses dont la clé publique est exposée dans l'historique blockchain. Vecteurs d'attaque quantique sur Bitcoin Transaction signée Clé publique exposée ~10 min Transit Ordinateur quantique Algo. de Shor Clé privée Fonds volés Clé privée compromise Adresse réutilisée Clé pub. stockée dans blockchain Différée Harvest now, decrypt later Clés publiques collectées aujourd'hui, attaque lancée quand le QC est prêt Source : NIST PQC, analyses blockchain, 2024

Quelles adresses Bitcoin sont réellement vulnérables ?

Toutes les adresses ne sont pas exposées de la même façon. Il faut distinguer 3 catégories selon leur niveau de risque.

Les adresses P2PK (Pay-to-Public-Key), utilisées notamment par Satoshi Nakamoto dans les premiers blocs, exposent la clé publique directement dans le script de sortie. Elles sont vulnérables même sans transaction sortante. On estime qu’environ 1 million de BTC restent dans ce format, dont une large partie attribuée à Satoshi.

Les adresses P2PKH (format legacy 1xxx) et Bech32 (bc1xxx) ne révèlent la clé publique que lors de la première transaction sortante. Tant qu’une adresse reçoit des fonds sans jamais dépenser, elle est protégée par le hash SHA-256 + RIPEMD-160. Le problème survient dès qu’elle signe une transaction.

Les adresses réutilisées représentent la menace principale. Chaque réutilisation d’une adresse pour recevoir ET envoyer expose la clé publique dans l’historique immuable de la blockchain. D’après des analyses on-chain disponibles sur Glassnode, environ 4 millions de BTC se trouvent dans des adresses dont la clé publique est exposée.

Satoshi et les premiers blocs : un cas à part

Les 1 125 150 BTC attribués aux adresses de minage des premiers blocs (blocs 0 à ~50 000) n’ont jamais bougé. Ces coins dorment dans des adresses P2PK, clé publique visible. Si un ordinateur quantique suffisamment puissant devenait disponible, ces adresses seraient parmi les premières ciblées. La communauté débat régulièrement de la légitimité d’une migration forcée de ces coins, un sujet politiquement explosif dans le protocole Bitcoin.

Qu’est-ce que la cryptographie post-quantique ?

La cryptographie post-quantique (PQC) désigne un ensemble d’algorithmes mathématiques résistants à la fois aux ordinateurs classiques et aux ordinateurs quantiques. Ces algorithmes ne reposent pas sur le logarithme discret ou la factorisation d’entiers, mais sur des problèmes que même l’algorithme de Shor ne peut pas résoudre efficacement.

En août 2024, le NIST a publié 3 standards finalisés : FIPS 203 (ML-KEM, anciennement CRYSTALS-Kyber), FIPS 204 (ML-DSA, anciennement CRYSTALS-Dilithium) et FIPS 205 (SLH-DSA, anciennement SPHINCS+). Ces 3 algorithmes constituent la base sur laquelle les protocoles blockchain devront migrer.

Les familles de problèmes sous-jacents incluent :

  • Les réseaux euclidiens (lattice-based) : ML-KEM, ML-DSA, FALCON
  • Les fonctions de hachage (hash-based) : XMSS, SPHINCS+
  • Les codes correcteurs d’erreurs (code-based) : HQC, BIKE

« La publication de ces standards marque une étape clé dans notre préparation à une ère post-quantique. Nous encourageons les administrateurs systèmes à commencer la transition immédiatement. »

  • Dustin Moody, NIST Post-Quantum Cryptography Project Lead, août 2024 (traduit de l’anglais)

Les algorithmes lattice-based comme ML-DSA présentent toutefois un inconvénient majeur pour la blockchain : la taille des signatures. Une signature ECDSA classique fait 64 octets, contre 2 420 octets pour ML-DSA-44. Pour Bitcoin, qui traite des millions de transactions, cela représente un défi technique considérable sur la taille des blocs.

Comment Ethereum et Bitcoin abordent-ils la transition ?

Les 2 principales blockchains prennent des approches différentes, reflet de leurs gouvernances respectives.

Ethereum intègre la résistance quantique dans sa feuille de route long terme. L’Ethereum Foundation travaille sur un mécanisme de migration des comptes vers des clés post-quantiques via les “Account Abstraction” (ERC-4337 et EIP-7702). L’idée : permettre aux smart contracts de wallet de remplacer la vérification ECDSA par une vérification SPHINCS+ ou XMSS sans changer le protocole de consensus. Vitalik Buterin a mentionné dans plusieurs posts de recherche la nécessité d’une migration d’urgence possible en cas d’accélération quantique inattendue.

Bitcoin avance plus prudemment, conformément à sa philosophie de changement minimal. Plusieurs BIP explorent l’ajout d’un nouveau type d’adresse quantique-résistante (similaire à la transition P2PKH → Bech32). L’enjeu est politique autant que technique : forcer une migration nécessiterait un soft fork ou un hard fork, et la migration des coins de Satoshi resterait impossible sans sa clé privée.

Solana, Cardano et d’autres protocoles plus récents explorent des options hybrides : maintenir ECDSA pour la compatibilité tout en ajoutant une couche PQC optionnelle dès maintenant, avant que la menace soit réelle.

Qu’en est-il des hardware wallets ?

Les Ledger et Trezor actuels génèrent et stockent des clés ECDSA. Ils ne sont pas directement vulnérables à une attaque quantique locale (la clé privée ne quitte pas le device), mais la clé publique dérivée reste exposée sur la blockchain. Les fabricants de hardware wallets suivent les travaux du NIST et préparent des mises à jour firmware pour supporter les algorithmes PQC, mais aucune date concrète n’est annoncée pour les appareils grand public.

Taille des signatures : ECDSA vs algorithmes post-quantiques Graphique comparant la taille en octets des signatures cryptographiques de l'ECDSA Bitcoin (64 octets), ML-DSA-44 (2420 octets) et SPHINCS+-128s (8080 octets), illustrant le défi de la migration post-quantique pour la taille des blocs blockchain. Taille des signatures (en octets) ECDSA (Bitcoin) 64 octets ML-DSA-44 2 420 octets SPHINCS+-128s 8 080 octets (NIST FIPS 205) Source : NIST, 2024

Quelles mesures concrètes prendre pour protéger ses actifs aujourd’hui ?

La menace quantique n’est pas imminente. Mais les bonnes pratiques de sécurité actuelle minimisent déjà votre exposition, et certaines décisions préparent la migration future.

Ne jamais réutiliser une adresse. C’est la règle numéro un. Chaque adresse Bitcoin ou Ethereum ne devrait être utilisée qu’une seule fois pour recevoir des fonds, puis vidée en totalité. La réutilisation expose votre clé publique à chaque transaction et vous place dans la catégorie “harvest now, decrypt later”. Les wallets HD modernes (BIP-32/BIP-44) génèrent automatiquement une nouvelle adresse à chaque réception.

Migrer vers des adresses Bech32 (SegWit natif, format bc1q...) si vous utilisez encore des adresses legacy P2PK ou P2PKH avec un historique de transactions. Ces adresses réduisent l’exposition sans encore être post-quantiques, mais elles intègreront plus facilement les futures mises à jour du protocole.

Surveiller les développements autour de XMSS (eXtended Merkle Signature Scheme) et SPHINCS+ pour vos solutions de garde long terme. Ces algorithmes hash-based offrent une résistance quantique prouvée et sont déjà standardisés. Certains projets de garde institutionnelle explorent leur intégration pour les cold storage.

Pour les détenteurs institutionnels ou les gros patrimoines, envisager une solution de multi-signature post-quantique hybride, combinant ECDSA actuel et une couche PQC, en attendant que les standards blockchain maturent.

Enfin, rester attentif aux annonces de migration des protocoles que vous utilisez. Ethereum fournira probablement un outil de migration de compte natif. Pour Bitcoin, les discussions sur les BIP liés à la PQC méritent d’être suivies de près, même si la décision de migrer reste individuelle.

Quel calendrier faut-il anticiper ?

Les experts s’accordent sur 3 horizons distincts pour la menace quantique sur la cryptographie asymétrique.

Horizon court terme (0-5 ans) : aucun risque opérationnel réel. Les machines actuelles comme Willow ont 105 qubits physiques bruités. Casser ECDSA-256 bits requiert des millions de qubits logiques stables, ce qui implique une correction d’erreur quantique à grande échelle que personne n’a encore résolue.

Horizon moyen terme (5-15 ans) : zone d’incertitude active. Les progrès en correction d’erreurs quantiques sont non-linéaires. C’est la période pendant laquelle les protocoles blockchain doivent finaliser et déployer leurs migrations PQC. Un délai de réaction de 5 ans serait dangereux : les hard forks et soft forks prennent des années de consensus.

Horizon long terme (15-25 ans) : si aucune migration n’a eu lieu, les adresses exposées sont compromises. L’enjeu porte sur des milliards de dollars d’actifs dormants dans des adresses P2PK, dont les coins de Satoshi.

Le NIST recommande aux organisations critiques de commencer leur migration dès aujourd’hui, en ciblant une transition complète avant 2030 pour les systèmes les plus sensibles.

Lecture CryptoActu La vraie fenêtre de risque n’est pas 2025, c’est 2030-2035. Mais les blockchains publiques ont besoin de 5 à 8 ans pour coordonner une migration de protocole, tester les nouveaux algorithmes et déployer les outils utilisateur. Si les développeurs de Bitcoin et Ethereum attendent que la menace soit imminente pour commencer, il sera trop tard. L’histoire du passage de P2PKH à SegWit (annoncé en 2015, déployé en 2017, adopté à 80% seulement en 2022) illustre cette inertie structurelle des blockchains ouvertes.

Questions fréquentes

Les bitcoins de Satoshi Nakamoto sont-ils en danger ?

Les quelque 1 million de BTC attribués à Satoshi Nakamoto sont stockés dans des adresses P2PK des premiers blocs, où la clé publique est directement exposée. Ces adresses sont parmi les plus vulnérables en cas d’ordinateur quantique opérationnel. La communauté Bitcoin débat d’un mécanisme pour “geler” ces coins si Satoshi ne réagit pas avant une éventuelle menace, mais aucun consensus n’existe à ce jour.

Un hardware wallet Ledger ou Trezor protège-t-il contre les attaques quantiques ?

Non, pas directement. Un hardware wallet garde la clé privée hors ligne, ce qui empêche un vol numérique classique. Mais la clé publique correspondante reste exposée sur la blockchain à chaque transaction. Un ordinateur quantique suffisamment puissant pourrait dériver la clé privée depuis cette clé publique. La protection réelle viendra de la migration vers des algorithmes post-quantiques au niveau du protocole, pas du matériel seul. Pour approfondir, consultez notre comparatif des wallets crypto Ledger, Trezor, Phantom, MetaMask et Rabby.

Qu’est-ce que la cryptographie post-quantique et pourquoi est-elle différente ?

La cryptographie post-quantique (PQC) regroupe des algorithmes mathématiques que les ordinateurs quantiques ne peuvent pas résoudre efficacement, même avec l’algorithme de Shor. Contrairement à ECDSA qui repose sur le logarithme discret sur courbe elliptique, les algorithmes PQC s’appuient sur des problèmes de réseaux euclidiens (ML-DSA, ML-KEM) ou de hachage (SPHINCS+). Le NIST a publié ses premiers standards finalisés en août 2024.

Ethereum ou Bitcoin migreront-ils automatiquement vers la PQC ?

Non automatiquement. Chaque blockchain requiert un processus de gouvernance pour adopter de nouveaux types de signatures. Ethereum travaille sur des mécanismes de migration via Account Abstraction, ce qui permettrait une transition plus fluide. Bitcoin nécessiterait probablement un soft fork avec un nouveau type d’adresse PQC, à l’image de la transition vers SegWit. Dans les 2 cas, la migration reste à l’initiative des utilisateurs : personne ne peut forcer un wallet à migrer vers une nouvelle adresse. Pour suivre les évolutions du protocole Ethereum et de Bitcoin, nos analyses régulières font le point.

Dois-je vendre mes cryptos par crainte de la menace quantique ?

Non. La menace quantique est réelle mais pas imminente. Les experts estiment une fenêtre de 10 à 15 ans avant que des ordinateurs quantiques puissent menacer ECDSA-256 bits. Les bonnes pratiques actuelles (adresse unique par transaction, wallets HD, migration vers Bech32) réduisent déjà votre exposition. Vendre par panique serait disproportionné : les protocoles auront largement eu le temps de migrer avant que la menace devienne opérationnelle, à condition que les développements commencent dès maintenant.

À retenir

La cryptographie quantique constitue une menace structurelle pour les blockchains publiques à horizon 10-15 ans, pas un danger immédiat. Les bonnes pratiques actuelles, la non-réutilisation d’adresses en tête, minimisent déjà votre exposition. Suivez les avancées du NIST PQC et les feuilles de route Ethereum et Bitcoin : c’est là que se jouera la sécurité de vos actifs dans la prochaine décennie.

Sources

Nous ajouter à vos sources préférées sur Google
EN DIRECT