Quantique Bitcoin Google Paper 2026

Les maths pour casser Bitcoin viennent de se durcir

Je travaille dans l'espace de l'auto-conservation crypto. Le 30 mars 2026 est l'une de ces dates qui marquent un avant et un après. Une équipe de Google Quantum AI a publié un papier qui accomplit ce que les chercheurs n'avaient pas réussi à faire jusque-là : réduire d'un ordre de grandeur le coût estimé pour casser la cryptographie de Bitcoin, en prouvant le résultat via une vérification à connaissance nulle. Rien n'a été cassé. La fenêtre de préparation vient de se rétrécir.

Le consensus précédent, fondé sur Webber et al. (2022), situait l'exigence en qubits pour une attaque sur Bitcoin entre 13 et 317 millions de qubits physiques. Le papier de Google (arXiv:2603.28846, Babbush, Boneh, Drake, Gidney, Zalcman, Broughton, Khattar, Neven, Bergamaschi) a ramené ce chiffre sous les 500 000. C'est une compression de 20x de la borne inférieure. Le papier montre également que l'algorithme de Shor peut résoudre le problème du logarithme discret sur courbe elliptique 256 bits de Bitcoin avec environ 1 200 qubits logiques et 90 millions de portes Toffoli.

Pour le contexte : les plus grands ordinateurs quantiques en fonctionnement aujourd'hui ont environ 1 000 qubits bruyants. L'exigence de 500 000 qubits représente encore un écart de 500x, et cet écart suppose des taux d'erreur qu'aucun système n'a démontrés à grande échelle. Ce n'est pas une crise. C'est un point de données qui rend la crise éventuelle plus lisible.

TL;DR

Le papier de Google du 30 mars 2026 (arXiv:2603.28846) a réduit de 20x le coût estimé en qubits pour casser l'ECDSA de Bitcoin, de plusieurs millions de qubits physiques à moins de 500 000. Aucun ordinateur quantique ne peut casser Bitcoin aujourd'hui : les plus grandes machines existantes ont environ 1 000 qubits bruyants, un écart de 500x. Environ 3,7 millions de BTC dans des adresses P2PK héritées et P2PKH réutilisées présentent une exposition réelle au repos parce que leurs clés publiques sont visibles de façon permanente on-chain. Les types d'adresses modernes (P2WPKH, P2TR) gardent la clé publique cachée jusqu'à la dépense et ne sont pas vulnérables au repos. Les développeurs de Bitcoin Core rédigent activement BIP-360 et BIP-361 pour une migration post-quantique par phases. Le NIST a finalisé ses normes de signature post-quantiques (FIPS 203/204/205) le 13 août 2024, avec une échéance de dépréciation des signatures classiques en 2030 et une interdiction en 2035. SHA-256 et la preuve de travail ne sont pas significativement menacés par les méthodes quantiques. Préparez-vous, ne paniquez pas.

Ce que le papier dit réellement

La liste des auteurs mérite une lecture. Ryan Babbush figure en tête de liste, de Google Quantum AI. Dan Boneh (cryptographe de Stanford) et Justin Drake (chercheur à l'Ethereum Foundation) sont co-auteurs. Ce ne sont pas des journalistes qui spéculent sur une menace future. Ils construisent du matériel quantique et conçoivent les standards cryptographiques qui remplacent les standards cassés.

Leur contribution centrale est un ensemble d'optimisations de l'algorithme de Shor qui réduit drastiquement les ressources quantiques nécessaires pour résoudre le problème du logarithme discret sur courbe elliptique (ECDLP) sous-jacent à l'ECDSA de Bitcoin. La configuration alternative dans le papier utilise 1 450 qubits logiques avec 70 millions de portes Toffoli. Traduit en matériel physique avec les architectures supraconductrices actuelles à des taux d'erreur de 10^-3 : moins de 500 000 qubits physiques.

Un aspect de divulgation responsable se distingue. L'équipe a utilisé une preuve à connaissance nulle pour vérifier leur résultat. Ils ont démontré que leur approche fonctionne sans publier les optimisations spécifiques qui la rendent possible. La preuve de vulnérabilité est publique. Le plan d'attaque ne l'est pas. Cela donne à la communauté le temps de réagir.

Un papier séparé (Cain et al., arXiv:2603.28627) a abouti à des conclusions similaires sur un chemin matériel différent : des qubits à atomes neutres plutôt que supraconducteurs. Leur analyse montre que l'algorithme de Shor est réalisable avec aussi peu que 10 000 qubits atomiques reconfigurables, bien qu'avec des taux d'erreur inférieurs à 10^-4 et des temps de cohérence mesurés en secondes qu'aucun système actuel n'atteint. Deux groupes de recherche indépendants convergeant vers des estimations de faisabilité similaires est plus significatif que l'un ou l'autre des papiers seul.

Pour le papier complet de Google : https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf

Pourquoi la fenêtre d'attaque est importante

Bitcoin utilise ECDSA pour prouver la propriété. Votre clé privée signe les transactions. Votre clé publique les vérifie. L'hypothèse de sécurité est que dériver une clé privée à partir de sa clé publique est computationnellement infaisable. Les ordinateurs classiques ne peuvent pas le faire. Les ordinateurs quantiques exécutant l'algorithme de Shor peuvent. Pour une analyse approfondie de la relation entre les clés et la sécurité des phrases de récupération, le guide BIP39 couvre les mécanismes en détail.

L'exposition dépend entièrement du moment et du fait que votre clé publique est visible.

L'exposition à la dépense est l'attaque la plus urgente dans le temps. Quand vous diffusez une transaction, votre clé publique apparaît dans la mempool avant que le bloc soit miné. Un attaquant quantique surveillant la mempool aurait une fenêtre de quelques minutes (l'abstract du papier de Google décrit le temps d'attaque en minutes à des vitesses d'horloge rapides, bien que le chiffre exact dépende de la configuration matérielle). Le temps de bloc de Bitcoin est de 10 minutes. Les auteurs abordent ce chevauchement directement.

L'exposition au repos affecte les portefeuilles dormants où la clé publique est déjà on-chain. Les adresses P2PK de 2009 à environ 2012 stockent la clé publique complète directement dans la sortie de transaction. On estime que 3,7 millions de BTC se trouvent dans ces adresses avec des clés publiques visibles de façon permanente. Les propres coins de Satoshi sont en P2PK. Un attaquant quantique peut cibler ces coins à tout moment, sans attendre une transaction. Le record de factorisation de Shor sur matériel classique, pour comparaison, reste à 21 (atteint en 2012). Aucune machine classique n'a factorisé quoi que ce soit de cryptographiquement significatif. L'avantage quantique commence là où le calcul classique s'arrête.

Pour le contexte sur le fonctionnement des adresses Bitcoin et des formats de clés, voir Envoyer et recevoir du Bitcoin et Analyse technique approfondie.

L'écart est réel et le calendrier n'est pas infini

L'écart de 500x en qubits entre le matériel actuel et le seuil d'attaque n'est pas une erreur d'arrondi. Passer de 1 000 qubits bruyants à 500 000 qubits haute-fidélité nécessite de résoudre simultanément les problèmes de fabrication, de correction d'erreurs et de cohérence. Aucun groupe de recherche n'a publiquement affirmé être proche.

L'objectif interne de migration post-quantique de Google est 2029. Ils préparent leurs systèmes pour cette date non pas parce qu'ils s'attendent à un ordinateur quantique cryptographiquement pertinent d'ici là, mais parce qu'ils estiment que le risque devient non négligeable dans les années qui suivent. La société qui construit le matériel vous dit qu'elle pense que la fenêtre a de l'importance. C'est un signal d'une nature particulière.

Le calendrier NIST ajoute une structure concrète. FIPS 203, 204 et 205 (les premiers standards cryptographiques post-quantiques, couvrant CRYSTALS-Kyber, CRYSTALS-Dilithium et SPHINCS+) ont été finalisés le 13 août 2024. Le calendrier de migration : algorithmes de signature classiques dépréciés d'ici 2030, interdits d'ici 2035. Les systèmes fédéraux font face à cette échéance. Bitcoin ne répond pas au NIST. Mais le calendrier de migration de l'écosystème cryptographique plus large est un plancher utile pour réfléchir à l'urgence.

Ce qui devrait retenir l'attention, c'est la vélocité. L'estimation de Webber et al. était restée comme consensus pendant des années. Un seul papier a déplacé la borne de 20x. Les améliorations de la recherche se composent. Les attaques s'améliorent. Elles ne reviennent pas en arrière.

Le problème des 3,7 millions de BTC

Toutes les adresses Bitcoin ne présentent pas la même exposition. Le risque se concentre dans les sorties P2PK des premières années de Bitcoin.

Entre 2009 et environ 2012, les transactions Bitcoin stockaient la clé publique complète directement on-chain au format P2PK. Les coins de Satoshi sont là. Ainsi qu'une fraction substantielle des premiers produits de minage. Beaucoup de ces sorties n'ont pas bougé depuis plus d'une décennie. Les clés privées peuvent être perdues, les propriétaires injoignables.

Cela crée une question politique que le papier de Google soulève explicitement : quand un ordinateur quantique peut dériver ces clés privées, est-ce un vol ou autre chose ? Le papier n'y répond pas. La communauté non plus. BIP-361 propose un éventuel gel des coins vulnérables dans le cadre du chemin de migration. Ce débat sera bruyant.

Si vous avez créé un portefeuille après 2012 en utilisant n'importe quel logiciel de portefeuille standard, vous utilisez presque certainement P2PKH, P2SH, P2WPKH ou P2TR. Ces formats hachent la clé publique avant de la mettre on-chain. Votre clé publique n'est exposée qu'à la dépense. Les portefeuilles modernes dormants ne sont pas vulnérables aux attaques au repos.

Ce que les développeurs Core construisent

Le travail post-quantique dans la communauté des développeurs Bitcoin est antérieur à ce papier. Les résultats de Google l'ont accéléré.

Deux propositions sont maintenant en brouillon avec un testnet fonctionnel. BIP-360 définit des types d'adresses quantiques sûres utilisant des schémas de signature post-quantiques. BIP-361 décrit une migration par phases qui donnerait aux détenteurs le temps de déplacer leurs coins vers de nouveaux types d'adresses avant de geler éventuellement les sorties héritées. Pour l'analyse technique complète, lire BIP-360 et BIP-361 : le chemin de mise à niveau quantique de Bitcoin.

Les contraintes d'ingénierie sont réelles. Les signatures post-quantiques sont plus grandes. CRYSTALS-Dilithium produit des signatures d'environ 2 420 octets contre 72 octets pour ECDSA. Cela affecte l'espace de bloc, les frais et le débit. Tout changement de schéma de signature nécessite une mise à niveau de consensus sur chaque nœud. Le processus de mise à niveau de Bitcoin est délibéré, pas lent par accident (SegWit a pris des années de la proposition à l'activation ; Taproot a suivi le même schéma). Ce sont des problèmes traitables. Ce ne sont pas des problèmes rapides.

Pour la façon dont l'architecture du protocole Bitcoin gère les mises à niveau, voir Analyse technique approfondie.

Ce qu'il faut faire maintenant

Ne réutilisez pas les adresses. Quand vous recevez du Bitcoin sur une adresse et que vous y dépensez, votre clé publique est exposée on-chain pour cette adresse de façon permanente. Une nouvelle adresse par transaction garde votre clé publique cachée jusqu'au moment où vous choisissez de dépenser. Chaque portefeuille moderne génère automatiquement de nouvelles adresses.

Utilisez des types d'adresses modernes. Si votre portefeuille génère encore des adresses héritées commençant par "1", passez à un portefeuille qui prend en charge SegWit (bc1q) ou Taproot (bc1p). Ces formats hachent la clé publique et la gardent hors-chaîne jusqu'à la dépense. La plupart des portefeuilles matériels utilisent ces formats par défaut. Le guide d'auto-conservation Bitcoin couvre le choix du bon portefeuille en détail.

Vérifiez vos anciens portefeuilles. Si vous êtes dans Bitcoin depuis les débuts et avez des coins dans des adresses P2PK, les déplacer vers un type d'adresse moderne est l'étape de protection la plus concrète disponible pour les premiers adoptants.

Suivez BIP-360 et BIP-361. Quand les propositions de signature post-quantiques atteignent la maturité d'activation, la communauté devra se coordonner. Comprendre le calendrier maintenant signifie ne pas être pris de court quand la mise à niveau sera déployée.

Pour les pratiques de sécurité des portefeuilles, voir Portefeuilles : rester en sécurité. Pour les pratiques de confidentialité qui réduisent également l'exposition quantique, voir Confidentialité Bitcoin.

Références

1. Babbush, R., Boneh, D., Drake, J., Gidney, C., Zalcman, A., Broughton, M., Khattar, T., Neven, H., Bergamaschi, T. et al. "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." arXiv:2603.28846, 30 mars 2026. PDF complet : https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf
2. Cain, M. et al. "Shor's algorithm is possible with as few as 10,000 reconfigurable atomic qubits." arXiv:2603.28627, mars 2026.
3. IACR ePrint 2026/625. Analyse cryptanalytique connexe.
4. NIST. FIPS 203, 204, 205 (normes cryptographiques post-quantiques). Finalisés le 13 août 2024. https://csrc.nist.gov/projects/post-quantum-cryptography

Et maintenant

Nouveau dans Bitcoin ? Commencez par le chapitre 1. Il couvre les bases nécessaires pour comprendre tout ce qui est dans cet article.

Vous détenez déjà ? Vérifiez votre configuration de portefeuille dans Portefeuilles : rester en sécurité et confirmez que vous utilisez des types d'adresses modernes sans réutilisation d'adresses. Cette combinaison est votre meilleure protection aujourd'hui.