Bitcoin Menacé par les Ordinateurs Quantiques d’Ici 2028

Imaginez un instant que, du jour au lendemain, un acteur malveillant puisse signer une transaction Bitcoin à votre place et vider votre portefeuille sans même connaître votre phrase secrète. Pas de piratage classique, pas de phishing, juste une machine révolutionnaire capable de deviner votre clé privée à partir d’informations publiques laissées sur la blockchain. Cette menace, longtemps reléguée au rang de science-fiction, devient aujourd’hui une préoccupation concrète pour les détenteurs de Bitcoin.

Contrairement à une idée reçue tenace, les ordinateurs quantiques ne vont pas « casser le chiffrement » de Bitcoin. Le réseau n’utilise tout simplement pas de chiffrement symétrique pour protéger les fonds. Le vrai danger réside ailleurs : dans la capacité à forger des signatures valides sur des adresses qui ont déjà révélé leur clé publique.

La menace quantique sur Bitcoin : un risque bien réel mais souvent mal compris

Depuis plusieurs années, la communauté crypto suit avec attention les progrès des géants technologiques dans le domaine quantique. IBM, Google ou encore des acteurs chinois annoncent régulièrement des avancées spectaculaires. Et chaque milestone relance le débat : quand le « Q-Day » – le jour où une machine quantique suffisamment puissante deviendra opérationnelle – arrivera-t-il ?

Des estimations récentes placent cette échéance autour de 2028-2030 pour une machine tolérante aux fautes capable de casser les courbes elliptiques de 256 bits utilisées par Bitcoin. Cela laisse une fenêtre étroite, mais pas impossible, pour préparer la transition.

Pourquoi on parle de signatures et non de chiffrement

Adam Back, inventeur de Hashcash et figure historique de Bitcoin, le répète souvent : Bitcoin n’utilise pas de chiffrement au sens classique. Les fonds sont protégés par des signatures numériques (ECDSA puis Schnorr) qui prouvent la détention d’une clé privée sans la révéler.

« Bitcoin n’utilise pas de chiffrement. » Cette erreur de terminologie est souvent le signe d’une méconnaissance des fondamentaux.

Adam Back

Dans la plupart des adresses modernes (P2PKH, P2WPKH, P2TR), seule une empreinte (hash) de la clé publique est visible sur la blockchain. La clé publique complète n’apparaît qu’au moment où l’on dépense les fonds. Tant que cette clé reste cachée, même un ordinateur quantique ne peut rien faire.

Le problème concerne donc uniquement les UTXO (sorties de transaction non dépensées) dont la clé publique est déjà exposée. Et ils sont malheureusement nombreux.

6,7 millions de BTC déjà vulnérables aujourd’hui

Le projet Eleven, une organisation de recherche en sécurité crypto, maintient une liste publique appelée « Bitcoin Risq List ». Selon leurs critères – exposition de la clé publique ou réutilisation d’adresse – environ 6,7 millions de BTC sont considérés comme à risque.

Ce chiffre représente environ 30 % de l’offre en circulation hors des réserves perdues estimées. Une partie provient des toutes premières années de Bitcoin (adresses P2PK), une autre de réutilisations d’adresses ou de scripts complexes ayant révélé la clé publique.

Même les adresses Taproot (P2TR), souvent présentées comme plus modernes, exposent une version « tweaked » de la clé publique directement dans la sortie. Elles changent la nature du risque, mais ne l’éliminent pas totalement en cas d’attaque quantique à grande échelle.

Comment fonctionne l’attaque avec l’algorithme de Shor

L’algorithme de Shor, publié en 1994, permet à un ordinateur quantique de résoudre efficacement le problème du logarithme discret dans les courbes elliptiques. En termes simples : à partir d’une clé publique, il peut retrouver la clé privée correspondante en un temps raisonnable.

Des études récentes estiment qu’il faudrait environ 2 330 qubits logiques pour casser une clé secp256k1. En tenant compte des taux d’erreur actuels, cela représente plusieurs millions de qubits physiques. Les projections les plus pessimistes parlent d’une capacité atteignable d’ici la fin de la décennie.

Une fois la clé privée récupérée, l’attaquant peut signer n’importe quelle transaction et devancer la légitime sur le réseau grâce à une attaque de type « race attack » ou en payant des frais plus élevés.

Grover et le hash : une menace bien moindre

On entend parfois parler de l’algorithme de Grover qui offrirait une accélération quadratique pour trouver une préimage SHA-256. En pratique, cela réduit la sécurité de 256 bits à environ 128 bits – toujours hors de portée même pour un ordinateur quantique mature.

Les experts s’accordent : le danger principal vient bien de la cryptographie à clé publique, pas des fonctions de hachage.

Les solutions post-quantiques pour Bitcoin

La bonne nouvelle, c’est que la communauté travaille déjà sur des parades. Le NIST a finalisé en 2024 ses standards post-quantiques, dont plusieurs schémas de signatures résistants (Dilithium, Falcon, SPHINCS+).

Ces algorithmes ont cependant un défaut majeur : leurs signatures font plusieurs kilooctets au lieu de quelques dizaines d’octets. Cela augmente fortement le poids des transactions et donc les frais.

• BIP 360 : proposition d’un nouveau type de sortie « Pay to Quantum Resistant Hash »
• qbip.org : advocacy pour un sunset progressif des anciennes signatures
• Recherche sur des schémas plus efficaces adaptés aux contraintes Bitcoin
• Migration proactive des fonds vers de nouveaux formats

Certains proposent même des soft forks pour introduire de nouveaux opcodes ou désactiver progressivement les anciens scripts vulnérables.

Le calendrier critique : pourquoi 2028 pourrait être l’échéance

IBM a récemment annoncé des progrès majeurs en correction d’erreur et prévoit un système tolérant aux fautes autour de 2029. D’autres acteurs pourraient avancer plus vite. Les estimations varient, mais la fourchette 2028-2035 revient souvent.

Pour que Bitcoin reste sécurisé, il faut que la grande majorité des fonds exposés aient migré avant l’arrivée d’une machine capable de lancer une attaque rentable. Cela implique une coordination inédite entre développeurs, wallets, exchanges et utilisateurs.

Que peuvent faire les détenteurs dès aujourd’hui

La première étape consiste à vérifier si vos BTC sont dans une adresse exposée. Des outils comme la Bitcoin Risq List permettent d’estimer le risque global, mais des services plus précis commencent à apparaître.

Si vous détenez des anciens fonds ou avez réutilisé des adresses, la meilleure pratique reste de les transférer vers une nouvelle adresse moderne (idéalement SegWit ou Taproot) dès que possible. Cela force la révélation de la clé publique ancienne, mais sécurise les nouveaux fonds derrière un hash.

Pour les portefeuilles hardware, certains fabricants comme Trezor annoncent déjà des firmwares compatibles avec des schémas post-quantiques. La vigilance reste de mise.

Un débat qui divise la communauté

Certains maximalistes estiment que le risque est exagéré et que le marché aura le temps de réagir. D’autres, comme Michael Saylor, ont même évoqué l’idée controversée d’un hard fork pour invalider les anciennes signatures – une proposition rejetée massivement.

Le consensus penche plutôt vers une approche progressive : encourager la migration volontaire, préparer des BIPs, et surveiller étroitement les avancées quantiques.

Ce qui est certain, c’est que Bitcoin a déjà surmonté des défis techniques majeurs (SegWit, Taproot). La résilience du protocole et de sa communauté reste son meilleur atout face à cette nouvelle épreuve.

Le compte à rebours est lancé. Restera-t-il suffisamment de temps pour protéger l’intégralité du réseau avant que la menace ne devienne réalité ? L’histoire nous le dira, mais une chose est sûre : la vigilance et la préparation seront décisives dans les années à venir.