Les ordinateurs quantiques capables de briser la blockchain Bitcoin n’existent pas aujourd’hui. Cependant, les développeurs envisagent déjà une vague de mises à niveau pour construire des défenses contre la menace potentielle, et à juste titre, car la menace n’est plus hypothétique.
Cette semaine, Google a publié une recherche suggérant qu’un ordinateur quantique suffisamment puissant pourrait déchiffrer la cryptographie de base de Bitcoin en moins de neuf minutes, soit une minute plus rapide que le temps moyen de règlement des blocs Bitcoin. Certains analystes estiment qu’une telle menace pourrait devenir réalité d’ici 2029.
Les enjeux sont élevés : environ 6,5 millions de jetons Bitcoin, d’une valeur de plusieurs centaines de milliards de dollars, se trouvent à des adresses qu’un ordinateur quantique pourrait directement cibler. Certaines de ces pièces appartiennent au créateur pseudonyme de Bitcoin, Satoshi Nakamoto. En outre, le compromis potentiel nuirait aux principes fondamentaux de Bitcoin – « faire confiance au code » et « une monnaie saine ».
Voici à quoi ressemble la menace, ainsi que les propositions à l’étude pour l’atténuer.
Deux façons dont une machine quantique pourrait attaquer Bitcoin
Comprenons d’abord la vulnérabilité avant de discuter des propositions.
La sécurité du Bitcoin repose sur une relation mathématique à sens unique. Lorsque vous créez un portefeuille, une clé privée et un numéro secret sont générés, à partir desquels une clé publique est dérivée.
Dépenser des jetons Bitcoin nécessite de prouver la propriété d’une clé privée, non pas en la révélant, mais en l’utilisant pour générer une signature cryptographique que le réseau peut vérifier.
Ce système est infaillible, car il faudrait des milliards d’années aux ordinateurs modernes pour briser la cryptographie à courbe elliptique – en particulier l’algorithme de signature numérique à courbe elliptique (ECDSA) – afin de procéder à une ingénierie inverse de la clé privée à partir de la clé publique. Ainsi, la blockchain serait informatiquement impossible à compromettre.
Mais un futur ordinateur quantique peut transformer cette voie à sens unique en une voie à double sens en dérivant votre clé privée de la clé publique et en drainant vos pièces.
La clé publique est exposée de deux manières : à partir de pièces inactives sur la chaîne (attaque à exposition longue) ou de pièces en mouvement ou de transactions en attente dans le pool de mémoire (attaque à exposition courte).
Les adresses à clé publique payante (P2PK) (utilisées par Satoshi et les premiers mineurs) et Taproot (P2TR), le format d’adresse actuel activé en 2021, sont vulnérables à l’attaque à longue exposition. Les pièces de monnaie dans ces adresses n’ont pas besoin de bouger pour révéler leurs clés publiques ; l’exposition a déjà eu lieu et est lisible par n’importe qui sur terre, y compris un futur attaquant quantique. Environ 1,7 million de BTC se trouvent dans d’anciennes adresses P2PK, y compris les pièces de Satoshi.
L’exposition à découvert est liée au mempool – la salle d’attente des transactions non confirmées. Pendant que les transactions attendent d’être incluses dans un bloc, votre clé publique et votre signature sont visibles par l’ensemble du réseau.
Un ordinateur quantique pourrait accéder à ces données, mais il ne disposerait que d’une brève fenêtre – avant que la transaction ne soit confirmée et enterrée sous des blocs supplémentaires – pour dériver la clé privée correspondante et agir en conséquence.
Initiatives
BIP 360 : Suppression de la clé publique
Comme indiqué précédemment, chaque nouvelle adresse Bitcoin créée à l’aide de Taproot expose aujourd’hui en permanence une clé publique sur la chaîne, donnant ainsi au futur ordinateur quantique une cible qui ne disparaîtra jamais.
La proposition d’amélioration Bitcoin (BIP) 360 supprime la clé publique intégrée de manière permanente dans la chaîne et visible par tous en introduisant un nouveau type de sortie appelé Pay-to-Merkle-Root (P2MR).
Rappelons qu’un ordinateur quantique étudie la clé publique, effectue une rétro-ingénierie de la forme exacte de la clé privée et en forge une copie de travail. Si nous supprimons la clé publique, l’attaque n’a plus aucune base de travail. Pendant ce temps, tout le reste, y compris les paiements Lightning, les configurations multi-signatures et autres fonctionnalités Bitcoin, reste le même.
Cependant, si elle est mise en œuvre, cette proposition ne protégera que les nouvelles pièces à l’avenir. Les 1,7 million de BTC déjà présents dans les anciennes adresses exposées constituent un problème distinct, abordé par d’autres propositions ci-dessous.
SPHINCS+ / SLH-DSA : signatures post-quantiques basées sur le hachage
SPHINCS+ est un schéma de signature post-quantique construit sur des fonctions de hachage, évitant les risques quantiques auxquels est confrontée la cryptographie à courbe elliptique utilisée par Bitcoin. Bien que l’algorithme de Shor menace l’ECDSA, les conceptions basées sur le hachage comme SPHINCS+ ne sont pas considérées comme aussi vulnérables.
Le système a été normalisé par le National Institute of Standards and Technology (NIST) en août 2024 sous le nom de FIPS 205 (SLH-DSA) après des années d’examen public.
Le compromis en matière de sécurité est la taille. Alors que les signatures Bitcoin actuelles font 64 octets, les SLH-DSA ont une taille de 8 kilo-octets (Ko) ou plus. En tant que tel, l’adoption du SLH-DSA augmenterait considérablement la demande d’espace de bloc et augmenterait les frais de transaction.
En conséquence, des propositions telles que SHRIMPS (un autre système de signature post-quantique basé sur le hachage) et SHRINCS ont déjà été introduits pour réduire la taille des signatures sans sacrifier la sécurité post-quantique. Tous deux s’appuient sur SHPINCS+ tout en visant à conserver ses garanties de sécurité sous une forme plus pratique et plus économe en espace, adaptée à l’utilisation de la blockchain.
Le système de validation/révélation de Tadge Dryja : un frein d’urgence pour le Mempool
Cette proposition, un soft fork suggéré par le co-créateur de Lightning Network, Tadge Dryja, vise à protéger les transactions dans le mempool contre un futur attaquant quantique. Pour ce faire, il sépare l’exécution de la transaction en deux phases : Commit et Reveal.
Imaginez informer une contrepartie que vous lui enverrez un e-mail, puis envoyer un e-mail. La première est la phase de validation et la seconde est la phase de révélation.
Sur la blockchain, cela signifie que vous publiez d’abord une empreinte digitale scellée de votre intention – juste un hachage, qui ne révèle rien sur la transaction. La blockchain horodatage cette empreinte digitale de manière permanente. Plus tard, lorsque vous diffusez la transaction réelle, votre clé publique devient visible – et oui, un ordinateur quantique surveillant le réseau pourrait en dériver votre clé privée et forger une transaction concurrente pour voler vos fonds.
Mais cette fausse transaction est immédiatement rejetée. Le réseau vérifie : cette dépense a-t-elle un engagement préalable enregistré en chaîne ? Le vôtre oui. Ce n’est pas le cas de l’attaquant – il l’a créé il y a quelques instants. Votre empreinte digitale préenregistrée est votre alibi.
Le problème réside toutefois dans l’augmentation des coûts due à la division de la transaction en deux phases. Il est donc décrit comme un pont provisoire, pratique à déployer pendant que la communauté travaille à la construction de défenses quantiques.
Hourglass V2 : Ralentir la dépense des anciennes pièces
Proposé par le développeur Hunter Beast, Hourglass V2 cible la vulnérabilité quantique liée à environ 1,7 million de BTC détenus dans des adresses plus anciennes et déjà exposées.
La proposition accepte que ces pièces pourraient être volées lors d’une future attaque quantique et cherche à ralentir l’hémorragie en limitant les ventes à un bitcoin par bloc, afin d’éviter une liquidation massive catastrophique du jour au lendemain qui pourrait faire exploser le marché.
L’analogie est celle d’une ruée bancaire : vous ne pouvez pas empêcher les gens de retirer leurs fonds, mais vous pouvez limiter le rythme des retraits pour éviter que le système ne s’effondre du jour au lendemain. La proposition est controversée car même cette restriction limitée est considérée par certains membres de la communauté Bitcoin comme une violation du principe selon lequel aucune partie externe ne peut jamais interférer avec votre droit de dépenser vos pièces.
Conclusion
Ces propositions ne sont pas encore activées, et la gouvernance décentralisée de Bitcoin, couvrant les développeurs, les mineurs et les opérateurs de nœuds, signifie que toute mise à niveau prendra probablement du temps à se matérialiser.
Néanmoins, le flux constant de propositions précédant le rapport de Google de cette semaine suggère que le problème est depuis longtemps sur le radar des développeurs, ce qui pourrait contribuer à atténuer les inquiétudes du marché.