Risques quantiques : Chaincode Labs évalue la menace pour le bitcoin

Les spécialistes de l'organisation de recherche Chaincode Labs ont publié un rapport détaillé sur les menaces potentielles des ordinateurs quantiques pour le bitcoin. Le document de 55 pages a été préparé par les docteurs Anthony Milton et Clara Schickelman en mai 2025.

Combien de bitcoins sont en danger

Les auteurs estiment qu’entre 20 % et 50 % de tous les bitcoins en circulation (4-10 millions BTC) sont potentiellement vulnérables aux attaques utilisant des ordinateurs quantiques cryptographiquement pertinents (Cryptographically des ordinateurs quantiques pertinents, CRQC).

L'estimation la plus précise du Project Eleven au 17 janvier 2025 indique 6 262 905 BTC. Les fonds sont répartis comme suit :

• les bitcoins de l'époque de Satoshi — de 600 000 à 1,1 million de BTC restent sur des adresses de type P2PK avec des clés publiques entièrement révélées;
• coins perdus — entre 2 et 3 millions de BTC appartiennent à des utilisateurs ayant perdu l'accès à leurs clés privées. Tous ne sont pas vulnérables aux quantiques, mais une partie significative est menacée;
• adresses avec clés révélées — des millions de bitcoins se trouvent sur des adresses où les clés publiques ont été révélées en raison de leur réutilisation.

Les chercheurs ont particulièrement attiré l'attention sur la concentration des fonds sur les adresses d'échange. Certaines d'entre elles contiennent des centaines de milliers de bitcoins, ce qui en fait des cibles prioritaires pour d'éventuelles attaques quantiques.

"En termes d’actifs à clé publique, de nombreux grands détenteurs, y compris les bourses et les dépositaires institutionnels, ont historiquement géré leur stockage à froid en réutilisant les adresses dans un souci de simplicité opérationnelle. […]*

En conséquence, une liste de priorités économiques est établie pour les attaquants quantiques potentiels : le piratage de telles adresses peut offrir le meilleur retour sur les efforts investis.

Quand attendre le « Jour Q »

En 2024, l'organisation canadienne Global Risk Institute a mené une enquête auprès de 32 experts de premier plan dans le milieu académique. Près d'un tiers des répondants (10 sur 32) estiment que la probabilité d'apparition d'un CRQC dans les 10 prochaines années est de 50 % ou plus.

Les auteurs du rapport ont attiré l'attention sur les initiatives gouvernementales qui confirment la gravité de la menace :

La note de sécurité nationale de mai 2022 du président Joe Biden vise à « atténuer les risques quantiques possibles d’ici 2035 ». Le NIST a fixé à 2030 la date limite pour l’élimination progressive de RSA-2048 et ECC-256 avec une interdiction complète d’ici 2035 ;

• Royaume-Uni. Le Centre national de cybersécurité a publié un plan de migration en trois étapes : identification des systèmes vulnérables d'ici 2028, mises à jour prioritaires de 2028 à 2031, migration complète de 2031 à 2035 ;
• Union européenne. L'ETSI coordonne l'approche par le biais du groupe de travail sur la cryptographie quantique sécurisée, bien que les délais spécifiques n'aient pas encore été établis;
• Chine. Au lieu d'adopter les normes NIST, la Chine a lancé en février 2025 son propre programme « Algorithmes cryptographiques de prochaine génération pour une utilisation commerciale » via l'Institut des normes de cryptographie commerciale. Les délais spécifiques de mise en œuvre du programme n'ont pas été annoncés publiquement.

Les chercheurs ont également noté une accélération des progrès dans le domaine de l'informatique quantique. En décembre 2024, Google a présenté le processeur Willow avec 105 qubits physiques, atteignant une étape importante dans la correction d'erreurs quantiques. Microsoft a présenté en février 2025 le Majorana 1 — le premier processeur quantique basé sur des qubits topologiques.

Deux types d'attaques quantiques

Les ordinateurs quantiques menacent le bitcoin en piratant la cryptographie elliptique à l'aide de l'algorithme de Shor. Cet algorithme peut calculer la clé privée à partir de la clé publique en quelques heures ou jours au lieu de quadrillions d'années nécessaires aux ordinateurs classiques.

Les attaques à long terme ciblent trois types de scripts avec des clés publiques connues :

Payer à la clé publique (P2PK) est le type le plus ancien utilisé pour les récompenses de minage précoce. Il représente 0,025 % de l’UTXO, mais contient 8,68 % de l’offre de Bitcoin ;

• Payer à MultiSig (P2MS) — «multisig brut», introduit en 2011. Couvre 1,037% des UTXO avec environ 57 BTC;
• Payer à Taproot (P2TR) — introduit en 2021, représente 32,5 % des UTXO avec 0,74 % de l'offre (146 715 BTC).

Les attaques à court terme affectent toutes les transactions, mais elles se produisent dans une fenêtre de temps étroite lorsqu’un utilisateur révèle une clé publique dans le mempool (до подтверждения).

Brûler ou laisser

La question du sort des moyens quantiquement vulnérables a déjà divisé la communauté en deux camps.

Les partisans de Burn, menés par Jameson Lopp, affirment que la suppression des pièces vulnérables préservera l’intégrité du bitcoin. Selon eux, permettre aux ordinateurs quantiques de prendre des fonds équivaut à redistribuer la richesse de ceux qui ont perdu l’accès aux bitcoins à ceux qui gagneront la course technologique aux ordinateurs quantiques.

Lopp a comparé la vulnérabilité quantique à un bogue au niveau du protocole qui doit être corrigé. La combustion assurera la certitude et limitera la volatilité du marché.

Les opposants considèrent que la destruction constitue une confiscation et une violation du droit de propriété des propriétaires de pièces. Selon eux, le bitcoin a été créé comme un système où les utilisateurs conservent une souveraineté totale sur leurs fonds avec la possibilité d'y accéder à tout moment.

Un changement rendant certains UTXO définitivement inaccessibles constitue une intervention d'un tiers, contre laquelle le bitcoin a été créé. Cela deviendra une confiscation effective pour les détenteurs qui, pour une raison quelconque, ignorent simplement la menace quantique ou ne pourront pas transférer leurs pièces à temps sur des adresses résistantes aux attaques quantiques.

La décision affectera l’offre totale de bitcoin (в cas de сжигания) ou conduira à une redistribution massive des richesses (в cas de « vol quantique ) Il existe également des questions juridiques sur la responsabilité potentielle des promoteurs et des membres de la communauté pour toute décision qu’ils prennent.

Solutions proposées

Les développeurs envisagent plusieurs approches de la protection quantique, chacune avec ses avantages et compromis.

OP_CAT dans Tapscript (BIP-347). Ethan Heilman et Armin Sabouri ont proposé de ramener l'opcode OP_CAT, désactivé par Satoshi en 2010. Cela permettra de créer des signatures de Lamport — des signatures basées sur des hachages, résistantes aux attaques quantiques.

QuBit (BIP-360019283746574839201. Un développeur sous le pseudonyme de Hunter Beast a soumis la proposition la plus élaborée après des mois de discussions. P2QRH introduit un nouveau type de sortie en utilisant l’algorithme FALCON approuvé par le NIST, ainsi que CRYSTALS-Dilithium et SPHINCS+.

Scripts Taproot protégés par la quantique. Matt Corallo a proposé d'ajouter l'opcode OP_SPHINCS pour vérifier les signatures post-quantiques. Cela permettra aux portefeuilles de créer des sorties Taproot avec un chemin de dépense protégé par la quantique. Luke Dash - junior a noté que les portefeuilles peuvent commencer à mettre en œuvre immédiatement après la finalisation de la spécification, sans attendre l'activation du soft fork.

Compression des signatures via STARK. Ethan Heilman a proposé d'agréger les signatures post-quantiques en une seule preuve compacte STARK. Cela pourrait augmenter la capacité de traitement de Bitcoin tout en améliorant la confidentialité.

Stratégie de transition

Les auteurs du rapport ont proposé une approche en deux étapes, reconnaissant l'incertitude quant aux délais de la menace quantique.

• mesures à court terme )deux ans( — création d'une solution minimale viable pour une application d'urgence ;
• plan à long terme ) sept ans ( — développement d'un protocole quantique résistant optimal. Basé sur des précédents historiques SegWit ) 8,5 ans de la conception à l'adoption ( et Taproot ) 7,5 ans (.

Selon leurs estimations, il faudra entre 76 et 568 jours pour migrer tous les UTXO vers des adresses résistantes aux quantiques, en fonction de l'espace disponible dans les blocs.

Minage sous protection

Les ordinateurs quantiques ne sont probablement pas susceptibles de perturber le minage de Bitcoin dans un avenir prévisible en raison de limitations fondamentales.

« Contrairement aux attaques quantiques sur les signatures numériques, le minage quantique doit rivaliser avec le minage classique. Dans le cas des signatures Bitcoin basées sur des courbes elliptiques, lorsque les ordinateurs quantiques auront atteint un niveau de développement suffisant, une seule machine sera )CRQC( capable de compromettre des fonds en craquant la cryptographie utilisée. L’exploitation minière quantique, en revanche, nécessiterait un grand nombre de machines quantiques rapides pour égaler les performances des ASIC d’aujourd’hui. Contrairement à l’exploitation minière classique, l’exploitation minière quantique est difficile à paralléliser, ce qui la rend beaucoup plus difficile à mettre à l’échelle et la rend beaucoup moins efficace dans la pratique », indique le rapport.

Que faire pour les détenteurs

Les chercheurs recommandent :

• arrêter de réutiliser les adresses ;
• transférer des fonds des types de scripts vulnérables )P2PK, P2MS, P2TR( vers des types plus sécurisés )P2PKH, P2SH, P2WPKH, P2WSH(;
• les bourses doivent modifier leurs approches en matière de gestion des portefeuilles froids pour minimiser les risques quantiques.

Le rapport souligne : bien que la menace quantique ne soit pas actuelle pour le moment, la fenêtre de préparation se réduira à mesure que les technologies évolueront. Des actions proactives aujourd'hui sont nécessaires pour la survie à long terme du bitcoin.

Auparavant, Project Eleven a proposé 1 BTC pour le piratage quantique de la cryptographie du bitcoin.