Dans cet article
- Résumé
- BIP-360 Pose les Fondations Cryptographiques
- BIP-361 Est la Proposition de Gel Qui a Divisé la Communauté
- La Division Communautaire
- Project Eleven a Quantifié la Menace
- Ce Que Cela Coûte Sans Soft Fork
- Ce Que les Détenteurs Institutionnels Doivent Préparer
- Ce Que les Détenteurs de Bitcoin Doivent Faire Maintenant
- Références
- La Suite
Je travaille dans l'auto-conservation crypto. La question que je reçois le plus des détenteurs n'est plus de savoir si les ordinateurs quantiques sont réels. C'est : combien de temps reste-t-il, et que devient Bitcoin quand le temps est écoulé ? Deux propositions en brouillon répondent aux deux. Aucune réponse n'est confortable.
En février 2026, un groupe de développeurs Bitcoin a proposé de geler environ 6,9 millions de BTC, soit 34 % de l'offre totale, avant que les ordinateurs quantiques ne soient assez puissants pour les voler. Cela inclut environ 1,1 million de BTC attribués à Satoshi Nakamoto, valant environ 74 milliards de dollars aux prix actuels.
Ce ne sont pas des expériences de pensée. Le BIP-360 et le BIP-361 sont dans le dépôt officiel BIP de Bitcoin. Si vous avez lu notre article précédent sur ce que le document quantique de Google signifie pour les détenteurs, vous savez que le calendrier de la menace s'est raccourci. Ces propositions sont la première réponse concrète de Bitcoin. Elles ont profondément divisé la communauté.
Résumé
Le BIP-360 introduit des adresses bc1z résistantes au quantique via un soft fork. Il utilise un nouveau type de sortie Pay-to-Merkle-Root (P2MR) et la remise de témoin SegWit pour rendre les signatures post-quantiques abordables. Sans cela, une seule transaction sécurisée contre le quantique coûterait environ 200 $ ou plus, car les signatures post-quantiques sont 33 fois plus grandes qu'ECDSA. Le BIP-361 ajoute une migration par phases : bloquer les nouveaux envois vers les adresses héritées, puis geler les coins qui n'ont pas migré, puis offrir une récupération par preuve à divulgation nulle de connaissance pour les portefeuilles dérivés du BIP-39. L'estimation de 1,1 M de BTC de Satoshi dans les adresses P2PK ne peut pas être récupérée via ce mécanisme. La section de déploiement du BIP-361 a été retirée en attente d'un accord sur le schéma de signature post-quantique à standardiser. Le débat communautaire porte sur la question de savoir si le gel est une protection ou une confiscation. Les détenteurs sur des types d'adresses modernes (P2WPKH bc1q, P2TR bc1p) sans réutilisation d'adresses ne sont pas vulnérables au repos aujourd'hui. Le délai avant que les ordinateurs quantiques puissent briser la cryptographie actuelle de Bitcoin est estimé à 3 à 7 ans. Un résultat de recherche récent resserre cette estimation à la baisse.
BIP-360 Pose les Fondations Cryptographiques
Le BIP-360 est le plan de construction. Il définit comment Bitcoin peut ajouter la cryptographie post-quantique sans rompre le protocole existant.
Assigné le 18 décembre 2024 par Hunter Beast, Ethan Heilman et Isabel Foxen Duke, la proposition introduit un nouveau type de sortie appelé Pay-to-Merkle-Root (P2MR). Il utilise les sorties SegWit version 2 avec un nouvel encodage d'adresse : bc1z (bech32m). Si vous avez vu des adresses bc1q (SegWit) ou bc1p (Taproot), cela suit la même progression.
Ce que P2MR change. Taproot (BIP-341) vous permet de dépenser des Bitcoin de deux façons : une dépense rapide par keypath qui utilise directement votre clé publique, ou une dépense par scriptpath qui utilise un arbre de Merkle de scripts. Le keypath est efficace mais vulnérable au quantique, car il expose la clé publique. P2MR supprime entièrement le keypath. Chaque dépense passe par la racine de Merkle de l'arbre de scripts. La clé publique n'apparaît jamais on-chain lors d'une utilisation normale.
La sélection du schéma de signature est toujours ouverte. Le BIP-360 définit le format d'adresse et la structure de témoin. Le schéma de signature post-quantique reste à sélectionner, avec ML-DSA (Dilithium) et SLH-DSA (SPHINCS+) comme candidats principaux. Les deux font partie des normes de cryptographie post-quantique finalisées du NIST (FIPS 204 et FIPS 205, finalisées en 2024). ML-DSA est basé sur les réseaux et compact. SLH-DSA est basé sur les hachages et offre une hypothèse de sécurité différente comme solution de repli conservatrice.
Un candidat a déjà été abandonné. SQIsign, basé sur des problèmes d'isogénie, a été déprécié après que des benchmarks ont montré qu'il fonctionnait 15 000 fois plus lentement que la vérification ECC. L'élégance théorique n'aide pas si un nœud complet ne peut pas valider les blocs en temps raisonnable.
Le problème de taille. Une signature post-quantique utilisant ML-DSA fait environ 2 420 octets, contre 72 octets pour une signature ECDSA standard. C'est une augmentation de 33 fois. Dans un système où l'espace de bloc est fixé à environ 4 Mo par bloc, cette augmentation n'est pas un inconvénient. C'est un problème structurel. Le BIP-360 y répond grâce à une structure de témoin optimisée spécifique aux sorties P2MR. La remise de témoin SegWit, qui donne déjà aux données de signature une réduction de frais de 75 %, s'applique aux signatures post-quantiques dans cette proposition.
Pour une analyse approfondie du système de script de Bitcoin et de la façon dont Taproot a posé les bases pour cela, voir Technical Deep Dive.
BIP-361 Est la Proposition de Gel Qui a Divisé la Communauté
Le BIP-361 est la conversation plus difficile. Il demande quoi faire des coins qui ne peuvent pas être migrés.
Co-rédigé par Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile et Pierre-Luc Dallaire-Demers, le BIP-361 a été assigné le 11 février 2026. Il concerne 6,9 millions de BTC dans des types d'adresses vulnérables au quantique, soit 34 % de l'offre en circulation.
Le détail : environ 1,7 million de BTC se trouve dans des adresses P2PK, le format le plus ancien utilisé par Bitcoin de 2009 à 2012. Ces adresses stockent directement la clé publique on-chain. Elles deviennent vulnérables dès qu'un ordinateur quantique suffisamment puissant existe. Sur ces 1,7 million, environ 1,1 million de BTC est attribué à Satoshi Nakamoto. Les 5,2 millions de BTC restants se trouvent dans d'autres types d'adresses héritées avec des degrés d'exposition variables, principalement des adresses dont la clé publique a été révélée via des transactions passées ou la réutilisation d'adresses.
Le plan par phases.
La Phase A s'active environ 160 000 blocs (environ 3 ans) après l'activation. Les nouveaux Bitcoin ne peuvent plus être envoyés vers des types d'adresses héritées. Vous pouvez encore dépenser depuis des adresses héritées pendant cette fenêtre, mais le réseau cesse d'accepter de nouveaux dépôts. C'est une porte à sens unique qui pousse l'adoption des adresses bc1z.
La Phase B s'active environ 2 ans après la Phase A, soit 5 ans au total depuis l'activation. Les signatures ECDSA et Schnorr héritées sont entièrement dépréciées. Tout Bitcoin encore dans des adresses héritées à ce stade est gelé. Il ne peut pas être déplacé via les anciens schémas de signature.
Après la Phase B, un mécanisme de récupération par preuve à divulgation nulle de connaissance s'active. Si vous avez manqué les délais mais détenez toujours votre phrase de récupération (BIP-39 ou dérivation ultérieure), vous pouvez prouver la propriété des coins gelés et les migrer vers une adresse sécurisée contre le quantique. Vous prouvez la connaissance d'une clé privée sans la révéler. Ce mécanisme ne peut pas aider les coins stockés dans des formats de clé pré-BIP-39. Cela inclut les coins de Satoshi.
Sur le calendrier de déploiement. Les paramètres de signalisation Testnet4 dans la proposition font référence à une époque de 1798761600, ce qui correspond à une heure de début UTC au 1er janvier 2027. La section de déploiement a été retirée de la proposition avant approbation, en attente d'un consensus communautaire sur le schéma de signature post-quantique à adopter. La structure par phases est spécifiée. Les paramètres d'activation ne sont pas encore finaux.
Pour le contexte sur la façon dont les coins dormants, la planification successorale et les accès perdus interagissent avec cette proposition, voir Bitcoin Inheritance.
La Division Communautaire
L'opposition au BIP-361 est réelle et documentée. Des critiques écrivant dans CoinDesk et CCN ont décrit le mécanisme de gel comme "autoritaire et confiscatoire". Ils soutiennent que prendre le contrôle de coins qui n'ont pas été déplacés, quelle que soit la raison, franchit une ligne que les garanties de propriété de Bitcoin ont été conçues pour ne jamais franchir. Le développeur Mark Erhardt a amplifié la critique sur X.
Les défenseurs du BIP-361 soutiennent le contraire. Les coins dans des adresses P2PK ne sont pas sécurisés par conception. Ils sont sécurisés uniquement parce que le matériel quantique capable de casser secp256k1 n'existe pas encore. Laisser 6,9 millions de BTC exposés ne préserve les droits de propriété de personne. Cela retarde simplement la question de qui contrôle ces coins à terme, et confie la réponse à quiconque construit le premier ordinateur quantique suffisamment puissant.
Aucune position n'est manifestement fausse. Ce qui ressort du débat publié, c'est que l'étape de gel du BIP-361 nécessite un degré de prise de décision humaine coordonnée sur les coins d'autrui que Bitcoin a historiquement évité. Si c'est nécessaire ou si cela crée un précédent reste une question que la communauté travaille à résoudre sans calendrier de consensus clair.
Project Eleven a Quantifié la Menace
Le débat est passé du théorique au mesurable en avril 2026. Le 24 avril, le chercheur Giancarlo Lelli a remporté une prime de 1 BTC du Q-Day Prize de Project Eleven en démontrant la plus grande attaque quantique connue sur la cryptographie à courbe elliptique avec du matériel quantique réel.
Lelli a cassé une clé ECC de 15 bits sur du matériel quantique. Le résultat est 512 fois plus grand que toute démonstration publique précédente d'attaques quantiques sur la cryptographie à courbe elliptique. Une clé de 15 bits reste bien plus petite que les clés de 256 bits utilisées par Bitcoin. L'attaque ne menace pas Bitcoin aujourd'hui. Ce qu'elle démontre, c'est que la courbe est attaquable, que l'ingénierie nécessaire pour monter en puissance progresse, et que l'écart entre les résultats de laboratoire et le matériel cryptographiquement pertinent se réduit plus vite que certains calendriers l'avaient supposé.
Le résultat a été couvert par CoinDesk le 24 avril 2026, et par The Quantum Insider à la même date. Le Q-Day Prize de Project Eleven a été conçu pour suivre cette progression, en utilisant des tailles de clés progressivement plus grandes pour mesurer la rapidité avec laquelle le matériel quantique s'améliore contre ECC. Le résultat de Lelli est maintenant la référence.
Pour une analyse complète de ce que cette classe de recherche quantique signifie pour les détenteurs de Bitcoin, voir notre article précédent sur l'informatique quantique et Bitcoin.
Ce Que Cela Coûte Sans Soft Fork
Le problème de taille mérite d'être énoncé précisément, car il explique pourquoi le BIP-360 ne peut pas être ignoré.
Une signature post-quantique utilisant ML-DSA (Dilithium) fait environ 2 420 octets. Une signature ECDSA standard fait environ 72 octets. C'est une augmentation de 33 fois de la taille des signatures. Dans un système où l'espace de bloc est fixé à environ 4 Mo par bloc, cette augmentation est structurelle, pas cosmétique.
Aux taux de frais actuels et sans optimisation du protocole, une seule transaction sécurisée contre le quantique coûterait environ 200 $ ou plus. Cela rend Bitcoin post-quantique inutilisable pour les transactions ordinaires. Vous pourriez sécuriser vos économies, mais les dépenser brûlerait un pourcentage significatif en frais.
Le BIP-360 y répond grâce à une structure de témoin optimisée spécifique aux sorties P2MR. La remise de témoin SegWit s'applique aux signatures post-quantiques dans cette proposition. La solution à plus long terme implique l'agrégation de signatures utilisant des schémas avec des propriétés d'agrégation, ce qui permettrait de combiner plusieurs signatures dans un bloc et de réduire substantiellement les frais par transaction. C'est analogue au fonctionnement de l'agrégation de signatures Schnorr dans les transactions Bitcoin actuelles, adapté pour les mathématiques post-quantiques. Le schéma qui permet cela le plus efficacement fait partie du processus de sélection en cours.
Ce Que les Détenteurs Institutionnels Doivent Préparer
Aucune action n'est requise aujourd'hui. Les deux propositions sont au stade de brouillon. Aucune n'a entamé le processus d'activation, et le mécanisme de consensus de Bitcoin signifie des années de révision, de test et de débat communautaire avant qu'un changement ne soit mis en ligne.
Cela dit, la direction est fixée. Quand un consensus se formera, les dépositaires et les détenteurs institutionnels devront planifier la rotation des clés et la migration des adresses. Ce n'est pas une mise à niveau passive. Chaque UTXO doit être déplacé vers un nouveau type d'adresse. Pour les institutions détenant du Bitcoin sur des centaines ou des milliers d'adresses, c'est une entreprise opérationnelle significative.
Les détenteurs suisses devraient noter que le cadre réglementaire de la FINMA fait déjà référence aux normes de cryptographie post-quantique du NIST. L'algorithme ML-DSA dans l'ensemble de candidats du BIP-360 fait partie de la norme FIPS 204 du NIST, finalisée en 2024. Il y a un alignement réglementaire ici, même si l'implémentation spécifique à Bitcoin reste en brouillon.
Je travaille dans l'auto-conservation crypto, et la question institutionnelle passe déjà de "si" à "quand". Les exigences d'audit de garde et les considérations d'assurance font avancer cette conversation indépendamment des calendriers d'activation.
Pour des conseils pratiques sur la sécurisation de vos Bitcoin aujourd'hui, quel que soit le calendrier quantique, voir le guide d'auto-conservation et la sécurité des phrases de récupération BIP-39.
Ce Que les Détenteurs de Bitcoin Doivent Faire Maintenant
La menace quantique est réelle mais pas imminente. Voici ce qui compte aujourd'hui.
Vérifiez vos types d'adresses. Si votre portefeuille génère des adresses commençant par bc1q (P2WPKH) ou bc1p (P2TR/Taproot), vous utilisez des formats modernes. Ceux-ci sont vulnérables au quantique en théorie, mais ils n'exposent pas votre clé publique avant que vous ne dépensiez. Cela vous donne le temps de migrer quand des adresses sécurisées contre le quantique deviennent disponibles. Les coins dans des formats d'adresses très anciens, en particulier P2PK de 2009 à 2012, présentent une exposition plus élevée. Voir Wallets: Staying Secure pour une analyse complète des types d'adresses.
Évitez la réutilisation d'adresses. Chaque fois que vous dépensez depuis une adresse, votre clé publique est exposée on-chain. Une nouvelle adresse pour chaque transaction limite la fenêtre d'exposition. La plupart des portefeuilles modernes font cela automatiquement.
Gardez votre phrase de récupération en sécurité. Si le BIP-361 s'active et que vous manquez les délais des Phases A et B, la récupération par preuve à divulgation nulle de connaissance de la Phase C dépend entièrement de votre capacité à prouver que vous détenez la phrase de récupération originale. La perdre signifie que ces coins sont gelés définitivement. Cela est vrai indépendamment de l'informatique quantique. Votre phrase de récupération est votre dernier rempart dans chaque scénario.
Restez informé, pas alarmé. McKinsey estime que les attaques quantiques deviennent viables entre 2027 et 2030. L'objectif interne de migration quantique de Google est 2029. La communauté de développement Bitcoin avance. Le Q-Day Prize de Project Eleven suit activement la rapidité avec laquelle les attaques ECC s'intensifient sur du matériel réel. Le calendrier se mesure en années, mais les années passent vite quand la migration nécessite des étapes actives de chaque détenteur.
Pour plus d'informations sur la confidentialité des adresses et la réduction de l'exposition on-chain, voir Bitcoin Privacy.
Références
- Brouillon BIP-360 : Hunter Beast, Ethan Heilman, Isabel Foxen Duke. "Pay to Merkle Root." Bitcoin Improvement Proposals. Assigné le 18 décembre 2024. bip360.org
- Brouillon BIP-361 : Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile, Pierre-Luc Dallaire-Demers. "Legacy Signature Sunset." Assigné le 11 février 2026. bip361.org
- arXiv:2603.28846 : Babbush et al. "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." Mars 2026.
- Normes de cryptographie post-quantique du NIST : FIPS 203 (ML-KEM), FIPS 204 (ML-DSA/Dilithium), FIPS 205 (SLH-DSA/SPHINCS+). Finalisées en 2024. csrc.nist.gov
- Q-Day Prize de Project Eleven : Giancarlo Lelli, prime de 1 BTC pour une attaque ECC de 15 bits sur matériel quantique. 24 avril 2026. The Quantum Insider
- CoinDesk, 15 avril 2026 : "Bitcoin Developers Are Trying to Build Quantum Defenses. Your Coins Could Pay the Price." coindesk.com
- CoinDesk, 24 avril 2026 : "Researcher Wins 1 Bitcoin Bounty for Largest Quantum Attack on Underlying Tech." coindesk.com
- CCN : "Bitcoin Devs BIP-361: Quantum-Proof Bitcoin or Coin Freeze?" ccn.com
- McKinsey and Company : Estimations de viabilité de l'informatique quantique, fenêtre 2027-2030.
La Suite
Cet article a couvert ce que les développeurs Bitcoin construisent. Pour la menace sous-jacente, comment le document de Google a changé les calculs et ce que cela signifie pour votre portefeuille, lire Quantum Computing and Bitcoin: What Holders Must Know.
Pour comprendre les fondations techniques qui rendent ces propositions possibles, commencer par Technical Deep Dive. Pour des étapes pratiques sur la sécurisation de vos Bitcoin aujourd'hui, voir Wallets: Staying Secure.
