BIP-360 et BIP-361 Bitcoin Résistant au Quantique

Je travaille dans l'espace de l'auto-conservation crypto. La question que je reçois le plus des détenteurs en ce moment n'est pas de savoir si les ordinateurs quantiques sont réels. C'est : combien de temps nous reste-t-il, et que se passe-t-il pour Bitcoin quand le temps est écoulé ? Deux propositions en brouillon répondent aux deux, et aucune réponse n'est confortable.

En février 2026, un groupe de développeurs Bitcoin a formellement proposé de geler environ 6,9 millions de BTC, soit environ 34 % de l'offre totale, avant que les ordinateurs quantiques ne soient assez puissants pour les voler. Cela inclut environ 1,1 million de BTC attribués à Satoshi Nakamoto, valant environ 74 milliards de dollars aux prix actuels.

Ce ne sont pas des expériences de pensée. Le BIP-360 et le BIP-361 sont maintenant dans le dépôt officiel BIP de Bitcoin. Si vous avez lu notre article précédent sur ce que le document quantique de Google signifie pour les détenteurs, vous savez que le calendrier de la menace s'est considérablement raccourci. Ces propositions sont la première réponse concrète de Bitcoin. Et elles ont profondément divisé la communauté.

Résumé

Le BIP-360 introduit des adresses bc1z résistantes au quantique via un soft fork, utilisant un nouveau type de sortie Pay-to-Merkle-Root (P2MR) et la remise de témoin SegWit pour rendre les signatures post-quantiques abordables. Sans cela, une seule transaction sécurisée contre le quantique coûterait environ 200 $ ou plus, car les signatures post-quantiques sont environ 33 fois plus grandes qu'ECDSA. Le BIP-361 ajoute une migration par phases : bloquer les nouveaux envois vers les adresses héritées, puis geler les coins qui n'ont pas migré, puis offrir une récupération par preuve à divulgation nulle de connaissance pour les portefeuilles dérivés du BIP-39. L'estimation de 1,1 M de BTC de Satoshi dans les adresses P2PK ne peut pas être récupérée via ce mécanisme. La section de déploiement du BIP-361 a été retirée en attente d'un accord sur le schéma de signature post-quantique à standardiser. Le débat communautaire porte sur la question de savoir si le gel est une protection ou une confiscation. Les détenteurs sur des types d'adresses modernes (P2WPKH bc1q, P2TR bc1p) sans réutilisation d'adresses ne sont pas vulnérables au repos aujourd'hui. Le délai avant que les ordinateurs quantiques puissent briser la cryptographie actuelle de Bitcoin est estimé à 3 à 7 ans, avec un résultat de recherche récent resserrant cette estimation à la baisse.

BIP-360 Pose les Fondations Cryptographiques

Le BIP-360 est le plan de construction. Il définit comment Bitcoin peut ajouter la cryptographie post-quantique sans rompre le protocole existant.

Assigné le 18 décembre 2024 et rédigé par Hunter Beast, Ethan Heilman et Isabel Foxen Duke, la proposition introduit un nouveau type de sortie appelé Pay-to-Merkle-Root (P2MR). Il utilise les sorties SegWit version 2 avec un nouvel encodage d'adresse : bc1z (bech32m). Si vous avez vu des adresses bc1q (SegWit) ou bc1p (Taproot), cela suit la même progression.

Ce que P2MR change. Taproot (BIP-341) vous permet de dépenser des Bitcoin de deux façons : une dépense rapide par keypath utilisant directement votre clé publique, ou une dépense par scriptpath utilisant un arbre de Merkle de scripts. Le keypath est efficace mais vulnérable au quantique, car il expose la clé publique. P2MR supprime entièrement le keypath. Chaque dépense passe par la racine de Merkle de l'arbre de scripts. La clé publique n'apparaît jamais on-chain lors d'une utilisation normale.

La sélection du schéma de signature est toujours ouverte. Le BIP-360 définit le format d'adresse et la structure de témoin. Le schéma de signature post-quantique spécifique est toujours en cours de sélection, avec ML-DSA (Dilithium) et SLH-DSA (SPHINCS+) comme candidats principaux. Les deux font partie des normes de cryptographie post-quantique finalisées du NIST (FIPS 204 et FIPS 205, finalisées en 2024). ML-DSA est basé sur les réseaux et compact ; SLH-DSA est basé sur les hachages et offre une hypothèse de sécurité différente comme solution de repli conservatrice.

Un candidat a déjà été abandonné. SQIsign, basé sur des problèmes d'isogénie, a été déprécié après que des benchmarks ont montré qu'il fonctionnait environ 15 000 fois plus lentement que la vérification ECC. L'élégance théorique n'aide pas si un nœud complet ne peut pas valider les blocs en temps raisonnable.

Le problème de taille. Une signature post-quantique utilisant ML-DSA fait environ 2 420 octets, contre environ 72 octets pour une signature ECDSA standard. C'est une augmentation de 33 fois. Dans un système où l'espace de bloc est fixé à environ 4 Mo par bloc, cette augmentation de taille n'est pas un inconvénient ; c'est un problème structurel. Le BIP-360 y répond grâce à une structure de témoin optimisée spécifique aux sorties P2MR. La remise de témoin SegWit, qui donne déjà aux données de signature une réduction de frais de 75 %, s'applique aux signatures post-quantiques dans le cadre de cette proposition.

Pour une analyse approfondie du fonctionnement du système de script de Bitcoin et de la façon dont Taproot a posé les bases pour cela, voir Technical Deep Dive.

BIP-361 Est la Proposition de Gel Qui a Divisé la Communauté

Le BIP-361 est la conversation plus difficile. Il demande que faire des coins qui ne peuvent pas être migrés.

Co-rédigé par Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile et Pierre-Luc Dallaire-Demers, le BIP-361 a été formellement assigné le 11 février 2026. Il concerne 6,9 millions de BTC dans des types d'adresses vulnérables au quantique, soit environ 34 % de l'offre en circulation.

Le détail : environ 1,7 million de BTC se trouve dans des adresses P2PK, le format le plus ancien utilisé par Bitcoin de 2009 à environ 2012. Ces adresses stockent directement la clé publique on-chain, les rendant immédiatement vulnérables dès qu'un ordinateur quantique suffisamment puissant existe. Sur ces 1,7 million, environ 1,1 million de BTC est attribué à Satoshi Nakamoto. Les environ 5,2 millions de BTC restants se trouvent dans d'autres types d'adresses héritées avec des degrés d'exposition variables, principalement des adresses dont la clé publique a été révélée via des transactions passées ou la réutilisation d'adresses.

Le plan par phases.

La Phase A s'active environ 160 000 blocs (soit environ 3 ans) après l'activation. Les nouveaux Bitcoin ne peuvent plus être envoyés vers des types d'adresses héritées. Vous pouvez toujours dépenser depuis des adresses héritées pendant cette fenêtre, mais le réseau cesse d'accepter de nouveaux dépôts. C'est une porte à sens unique qui pousse l'adoption des adresses bc1z.

La Phase B s'active environ 2 ans après la Phase A, soit environ 5 ans au total depuis l'activation. Les signatures ECDSA et Schnorr héritées sont entièrement dépréciées. Tout Bitcoin encore dans des adresses héritées à ce stade est gelé. Il ne peut pas être déplacé en utilisant les anciens schémas de signature.

Après la Phase B, un mécanisme de récupération par preuve à divulgation nulle de connaissance s'active. Si vous avez manqué les délais mais que vous détenez toujours votre phrase de récupération (BIP-39 ou dérivation ultérieure), vous pouvez prouver la propriété des coins gelés et les migrer vers une adresse sécurisée contre le quantique. Vous prouvez la connaissance d'une clé privée sans la révéler. Mais ce mécanisme ne peut pas aider les coins stockés dans des formats de clé pré-BIP-39. Cela inclut les coins de Satoshi.

Sur le calendrier de déploiement. Les paramètres de signalisation Testnet4 dans la proposition font référence à une époque de 1798761600, ce qui correspond à une heure de début UTC au 1er janvier 2027. Cependant, la section de déploiement a été retirée de la proposition avant approbation, en attente d'un consensus communautaire sur le schéma de signature post-quantique à adopter. La structure par phases est spécifiée ; les paramètres d'activation ne sont pas encore finaux.

Pour le contexte sur la façon dont les coins dormants, la planification successorale et les accès perdus interagissent avec cette proposition, voir Bitcoin Inheritance.

La Division Communautaire

L'opposition au BIP-361 est réelle et documentée. Des critiques écrivant dans des publications telles que CoinDesk et CCN ont décrit le mécanisme de gel comme "autoritaire et confiscatoire", arguant que prendre le contrôle de coins qui n'ont pas été déplacés, quelle que soit la raison pour laquelle ils restent immobiles, franchit une ligne que les garanties de propriété de Bitcoin ont été conçues pour ne jamais franchir. Le développeur Mark Erhardt a amplifié la critique sur X.

Les défenseurs du BIP-361 soutiennent le contraire. Les coins dans des adresses P2PK ne sont pas sécurisés par conception ; ils sont sécurisés uniquement parce que le matériel quantique capable de casser secp256k1 n'existe pas encore. Laisser 6,9 millions de BTC exposés ne préserve les droits de propriété de personne. Cela retarde simplement la question de qui contrôle finalement ces coins, et confie cette question à quiconque construit le premier ordinateur quantique suffisamment puissant.

Aucune position n'est évidemment fausse. Ce qui est clair dans le débat publié, c'est que l'étape de gel du BIP-361 nécessite un degré de prise de décision humaine coordonnée sur les coins d'autrui que Bitcoin a historiquement évité. Si c'est nécessaire ou si cela crée un précédent est une question que la communauté travaille à résoudre sans calendrier de consensus clair.

Project Eleven a Quantifié la Menace

Le débat est passé du théorique au mesurable en avril 2026. Le 24 avril, le chercheur Giancarlo Lelli a remporté une prime de 1 BTC du Q-Day Prize de Project Eleven en démontrant la plus grande attaque quantique connue sur la cryptographie à courbe elliptique utilisant du matériel quantique réel.

Lelli a cassé une clé ECC de 15 bits sur du matériel quantique, un résultat 512 fois plus grand que toute démonstration publique précédente d'attaques quantiques sur la cryptographie à courbe elliptique. Une clé de 15 bits est bien plus petite que les clés de 256 bits utilisées par Bitcoin ; l'attaque ne menace pas Bitcoin aujourd'hui. Ce qu'elle démontre, c'est que la courbe est attaquable, que l'ingénierie nécessaire pour monter en puissance progresse, et que l'écart entre les résultats de laboratoire et le matériel cryptographiquement pertinent se réduit plus rapidement que certains calendriers l'avaient supposé.

Le résultat a été couvert par CoinDesk le 24 avril 2026, et par The Quantum Insider à la même date. Le Q-Day Prize de Project Eleven a été conçu spécifiquement pour suivre cette progression, en utilisant des tailles de clés progressivement plus grandes pour mesurer la rapidité avec laquelle le matériel quantique s'améliore contre ECC. Le résultat de Lelli est maintenant la référence.

Pour une analyse complète de ce que cette classe de recherche quantique signifie spécifiquement pour les détenteurs de Bitcoin, voir notre article précédent sur l'informatique quantique et Bitcoin.

Ce Que Cela Coûte Sans Soft Fork

Le problème de taille mérite d'être énoncé précisément, car il explique pourquoi le BIP-360 ne peut pas être ignoré.

Une signature post-quantique utilisant ML-DSA (Dilithium) fait environ 2 420 octets. Une signature ECDSA standard fait environ 72 octets. C'est une augmentation de 33 fois de la taille des signatures. Dans un système où l'espace de bloc est fixé à environ 4 Mo par bloc, cette augmentation est structurelle, pas cosmétique.

Aux taux de frais actuels et sans optimisation du protocole, une seule transaction sécurisée contre le quantique coûterait environ 200 $ ou plus. Cela rend Bitcoin post-quantique inutilisable pour les transactions ordinaires. Vous pourriez sécuriser vos économies, mais les dépenser brûlerait un pourcentage significatif en frais.

Le BIP-360 y répond grâce à une structure de témoin optimisée spécifique aux sorties P2MR. La remise de témoin SegWit s'applique aux signatures post-quantiques dans le cadre de cette proposition. La solution à plus long terme implique l'agrégation de signatures utilisant des schémas avec des propriétés d'agrégation, ce qui permettrait de combiner plusieurs signatures dans un bloc, réduisant substantiellement les frais par transaction. C'est analogue au fonctionnement de l'agrégation de signatures Schnorr dans les transactions Bitcoin actuelles, adapté pour les mathématiques post-quantiques. Le schéma qui permet cela le plus efficacement fait partie du processus de sélection en cours.

Ce Que les Détenteurs Institutionnels Doivent Préparer

Aucune action n'est requise aujourd'hui. Les deux propositions sont au stade de brouillon. Aucune n'a entamé le processus d'activation, et le mécanisme de consensus de Bitcoin signifie des années de révision, de test et de débat communautaire avant qu'un changement ne soit mis en ligne.

Cela dit, la direction est fixée. Quand un consensus se formera, les dépositaires et les détenteurs institutionnels devront planifier la rotation des clés et la migration des adresses. Ce n'est pas une mise à niveau passive. Chaque UTXO doit être déplacé vers un nouveau type d'adresse. Pour les institutions détenant du Bitcoin sur des centaines ou des milliers d'adresses, c'est une entreprise opérationnelle significative.

Les détenteurs suisses devraient noter que le cadre réglementaire de la FINMA fait déjà référence aux normes de cryptographie post-quantique du NIST. L'algorithme ML-DSA dans l'ensemble de candidats du BIP-360 fait partie de la norme FIPS 204 du NIST, finalisée en 2024. Il y a un alignement réglementaire ici, même si l'implémentation spécifique à Bitcoin reste en brouillon.

Je travaille dans l'espace de l'auto-conservation crypto, et la question institutionnelle passe déjà de "si" à "quand". Les exigences d'audit de garde et les considérations d'assurance font avancer cette conversation indépendamment des calendriers d'activation.

Pour des conseils pratiques sur la sécurisation de vos Bitcoin aujourd'hui, quel que soit le calendrier quantique, voir le guide d'auto-conservation et la sécurité des phrases de récupération BIP-39.

Ce Que les Détenteurs de Bitcoin Doivent Faire Maintenant

La menace quantique est réelle mais pas imminente. Voici ce qui compte aujourd'hui.

Vérifiez vos types d'adresses. Si votre portefeuille génère des adresses commençant par bc1q (P2WPKH) ou bc1p (P2TR/Taproot), vous utilisez des formats modernes. Ceux-ci sont vulnérables au quantique en théorie, mais ils n'exposent pas votre clé publique avant que vous ne dépensiez, vous donnant le temps de migrer quand des adresses sécurisées contre le quantique deviennent disponibles. Les coins dans des formats d'adresses très anciens, en particulier P2PK de 2009 à 2012, présentent une exposition plus élevée. Voir Wallets: Staying Secure pour une analyse complète des types d'adresses.

Évitez la réutilisation d'adresses. Chaque fois que vous dépensez depuis une adresse, votre clé publique est exposée on-chain. Une nouvelle adresse pour chaque transaction limite la fenêtre d'exposition. La plupart des portefeuilles modernes font cela automatiquement.

Gardez votre phrase de récupération en sécurité. Si le BIP-361 s'active et que vous manquez les délais des Phases A et B, la récupération par preuve à divulgation nulle de connaissance de la Phase C dépend entièrement de votre capacité à prouver que vous détenez la phrase de récupération originale. La perdre signifie que ces coins sont gelés définitivement. Cela est vrai indépendamment de l'informatique quantique ; votre phrase de récupération est votre dernier rempart dans chaque scénario.

Restez informé, pas alarmé. McKinsey estime que les attaques quantiques deviennent viables entre 2027 et 2030. L'objectif interne de migration quantique de Google est 2029. La communauté de développement Bitcoin avance. Le Q-Day Prize de Project Eleven suit activement la rapidité avec laquelle les attaques ECC s'intensifient sur du matériel réel. Le calendrier se mesure en années, mais les années passent vite quand la migration nécessite des étapes actives de chaque détenteur.

Pour plus d'informations sur la confidentialité des adresses et la réduction de l'exposition on-chain, voir Bitcoin Privacy.

Références

• Brouillon BIP-360 : Hunter Beast, Ethan Heilman, Isabel Foxen Duke. "Pay to Merkle Root." Bitcoin Improvement Proposals. Assigné le 18 décembre 2024. bip360.org
• Brouillon BIP-361 : Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile, Pierre-Luc Dallaire-Demers. "Legacy Signature Sunset." Formellement assigné le 11 février 2026. bip361.org
• arXiv:2603.28846 : Babbush et al. "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." Mars 2026.
• Normes de cryptographie post-quantique du NIST : FIPS 203 (ML-KEM), FIPS 204 (ML-DSA/Dilithium), FIPS 205 (SLH-DSA/SPHINCS+). Finalisées en 2024. csrc.nist.gov
• Q-Day Prize de Project Eleven : Giancarlo Lelli, prime de 1 BTC pour une attaque ECC de 15 bits sur matériel quantique. 24 avril 2026. The Quantum Insider
• CoinDesk, 15 avril 2026 : "Bitcoin Developers Are Trying to Build Quantum Defenses. Your Coins Could Pay the Price." coindesk.com
• CoinDesk, 24 avril 2026 : "Researcher Wins 1 Bitcoin Bounty for Largest Quantum Attack on Underlying Tech." coindesk.com
• CCN : "Bitcoin Devs BIP-361: Quantum-Proof Bitcoin or Coin Freeze?" ccn.com
• McKinsey and Company : Estimations de viabilité de l'informatique quantique, fenêtre 2027-2030.

La Suite

Cet article a couvert ce que les développeurs Bitcoin construisent. Pour la menace sous-jacente, comment le document de Google a changé les calculs et ce que cela signifie pour votre portefeuille spécifique, lire Quantum Computing and Bitcoin: What Holders Must Know.

Pour comprendre les fondations techniques qui rendent ces propositions possibles, commencer par Technical Deep Dive. Pour des étapes pratiques sur la sécurisation de vos Bitcoin aujourd'hui, voir Wallets: Staying Secure.