Skip to content
BTC2H₿₿2H
BlogChaptersDownloadOrderAboutFAQ
BTC Price
—
In Circulation
—
Block Time
—
Tx Fee
—

Bitcoin Zero to Hero

A free, open book for everyone—read online, download, or order a physical copy.

Explore

  • Blog
  • Read Online
  • Download PDF
  • Open-Source Projects
  • Order Book

Legal

  • About
  • FAQ
  • Privacy Policy
  • Cookie Policy

Connect

  • Share on X
  • Follow the author
© 2026 Bitcoin Zero to Hero. All rights reserved.
  1. Accueil
  2. Blog
  3. Quantique Bitcoin Google Paper 2026
Sécurité Bitcoin

Quantique Bitcoin Google Paper 2026

Publié le April 15, 20269 min de lecture
MH
Écrit par Mohamed Habbat · Auteur

Dans cet article

  • Le coût quantique pour casser Bitcoin a chuté de 20x
  • TL;DR
  • Ce que le papier dit réellement
  • Pourquoi la fenêtre d'attaque compte
  • L'écart est réel et le calendrier n'est pas infini
  • Le problème des 3,7 millions de BTC
  • Ce que les développeurs Core construisent
  • Ce qu'il faut faire maintenant
  • Références
  • Et maintenant
Dans cet article
  • Le coût quantique pour casser Bitcoin a chuté de 20x
  • TL;DR
  • Ce que le papier dit réellement
  • Pourquoi la fenêtre d'attaque compte
  • L'écart est réel et le calendrier n'est pas infini
  • Le problème des 3,7 millions de BTC
  • Ce que les développeurs Core construisent
  • Ce qu'il faut faire maintenant
  • Références
  • Et maintenant

Le coût quantique pour casser Bitcoin a chuté de 20x

Je travaille dans l'espace de l'auto-conservation crypto. Le 30 mars 2026, une équipe de Google Quantum AI a publié un papier qui réduit d'un ordre de grandeur le coût estimé pour casser la cryptographie de Bitcoin, et qui prouve le résultat via une vérification à connaissance nulle. Rien n'a été cassé. La fenêtre de préparation s'est rétrécie.

Webber et al. (2022) tenait lieu de consensus depuis quatre ans : entre 13 et 317 millions de qubits physiques pour attaquer Bitcoin. Le papier de Google (arXiv:2603.28846, Babbush, Boneh, Drake, Gidney, Zalcman, Broughton, Khattar, Neven, Bergamaschi) ramène ce chiffre sous les 500 000. Compression de 20x de la borne inférieure. Le papier montre aussi que l'algorithme de Shor peut résoudre le problème du logarithme discret sur courbe elliptique 256 bits de Bitcoin avec environ 1 200 qubits logiques et 90 millions de portes Toffoli.

Les plus grands ordinateurs quantiques en fonctionnement aujourd'hui ont environ 1 000 qubits bruyants. Le seuil à 500 000 qubits laisse un écart de 500x, et cet écart suppose des taux d'erreur qu'aucun système n'a démontrés à grande échelle. La crise n'est pas pour cette année. Le calendrier vient juste de devenir lisible.


TL;DR

Le papier de Google du 30 mars 2026 (arXiv:2603.28846) ramène le coût quantique pour casser l'ECDSA de Bitcoin de plusieurs millions de qubits physiques à moins de 500 000, soit un facteur 20. Aucune machine actuelle n'approche ce seuil : les plus grosses tournent à environ 1 000 qubits bruyants, écart de 500x. Environ 3,7 millions de BTC dorment dans des adresses P2PK héritées et P2PKH réutilisées avec clé publique visible on-chain de façon permanente. Les formats modernes (P2WPKH, P2TR) hachent la clé publique et la cachent jusqu'à la dépense. Les développeurs Bitcoin Core rédigent BIP-360 et BIP-361 pour une migration post-quantique par phases. Le NIST a finalisé FIPS 203, 204 et 205 le 13 août 2024, avec dépréciation des signatures classiques en 2030 et interdiction en 2035. SHA-256 et la preuve de travail tiennent : Grover ne fait que diviser par deux la sécurité effective, ce qui reste hors de portée. Migrez vos coins anciens, arrêtez de réutiliser les adresses, suivez BIP-360/361.


Ce que le papier dit réellement

La liste d'auteurs compte. Ryan Babbush en tête (Google Quantum AI), Dan Boneh (cryptographe de Stanford), Justin Drake (chercheur Ethereum Foundation). Ce ne sont pas des commentateurs qui spéculent. Ils construisent le matériel quantique et écrivent les standards cryptographiques qui remplaceront ceux cassés.

Leur contribution : un paquet d'optimisations de l'algorithme de Shor qui réduit les ressources quantiques pour résoudre le problème du logarithme discret sur courbe elliptique (ECDLP) sous l'ECDSA de Bitcoin. La configuration alternative utilise 1 450 qubits logiques et 70 millions de portes Toffoli. Traduit en matériel physique avec architectures supraconductrices à 10^-3 d'erreur : moins de 500 000 qubits physiques.

La divulgation est responsable. L'équipe a utilisé une preuve à connaissance nulle pour valider leur résultat. Ils prouvent que l'approche fonctionne sans publier les optimisations exactes. La vulnérabilité est documentée. Le plan d'attaque reste sous embargo. La communauté gagne du temps pour réagir.

Un second papier (Cain et al., arXiv:2603.28627) converge sur un chemin matériel différent : qubits à atomes neutres reconfigurables au lieu de supraconducteurs. Leur analyse rend Shor faisable avec 10 000 qubits atomiques, mais sous 10^-4 d'erreur et avec des temps de cohérence en secondes qu'aucun système ne tient encore. Deux groupes indépendants convergeant vers des seuils proches pèse plus lourd qu'un seul papier.

Pour le papier complet de Google : https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf


Pourquoi la fenêtre d'attaque compte

Bitcoin prouve la propriété via ECDSA. La clé privée signe. La clé publique vérifie. L'hypothèse de sécurité : remonter de la publique à la privée est computationnellement infaisable. Sur matériel classique, ça reste vrai. Sur matériel quantique exécutant Shor, ça tombe. Le guide sécurité des phrases de récupération BIP39 couvre la mécanique des clés en détail.

L'exposition dépend du moment où votre clé publique devient visible.

Exposition à la dépense. Quand vous diffusez une transaction, la clé publique apparaît dans la mempool avant que le bloc soit miné. Un attaquant quantique branché sur la mempool dispose d'une fenêtre en minutes (l'abstract de Google parle de minutes à vitesses d'horloge élevées, le chiffre exact varie selon le matériel). Le temps de bloc Bitcoin est de 10 minutes. Le papier traite ce chevauchement frontalement.

Exposition au repos. Les portefeuilles dormants dont la clé publique est déjà on-chain restent en danger en permanence. Les adresses P2PK de 2009 à environ 2012 stockent la clé publique brute dans la sortie. Environ 3,7 millions de BTC y dorment, dont une bonne part des coins de Satoshi. Un attaquant quantique peut les cibler quand il veut, sans attendre une transaction. Pour mémoire : le record de factorisation par Shor sur matériel quantique réel reste à 21 (atteint en 2012). Rien de cryptographiquement significatif n'a encore été factorisé. L'avantage quantique commence là où le calcul classique s'arrête.

Pour le fonctionnement des adresses et des formats de clés, voir Envoyer et recevoir du Bitcoin et Analyse technique approfondie.


L'écart est réel et le calendrier n'est pas infini

L'écart de 500x entre le matériel actuel et le seuil d'attaque n'est pas du bruit. Passer de 1 000 qubits bruyants à 500 000 qubits haute-fidélité oblige à résoudre simultanément fabrication, correction d'erreurs et cohérence. Aucun groupe de recherche ne s'est publiquement déclaré proche.

L'objectif interne de migration post-quantique de Google est 2029. Ils préparent leurs systèmes non parce qu'ils attendent une machine cryptographiquement pertinente d'ici là, mais parce qu'ils jugent le risque non négligeable dans les années suivantes. La société qui construit le matériel vous dit que la fenêtre compte. Ce signal a une nature particulière.

Le calendrier NIST donne une charpente concrète. FIPS 203, 204 et 205 (premiers standards post-quantiques, couvrant CRYSTALS-Kyber, CRYSTALS-Dilithium et SPHINCS+) ont été finalisés le 13 août 2024. Calendrier : signatures classiques dépréciées d'ici 2030, interdites d'ici 2035. Les systèmes fédéraux américains s'y conforment. Bitcoin ne répond pas au NIST. Mais le calendrier de l'écosystème cryptographique sert de plancher pour calibrer l'urgence.

Ce qui devrait retenir l'attention, c'est la vélocité. L'estimation Webber tenait depuis quatre ans. Un seul papier a déplacé la borne d'un facteur 20. Les améliorations de recherche se composent. Les attaques s'améliorent. Elles ne reviennent jamais en arrière.


Le problème des 3,7 millions de BTC

Les adresses Bitcoin ne sont pas exposées à parts égales. Le risque se concentre dans les sorties P2PK des premières années.

De 2009 à environ 2012, les transactions Bitcoin stockaient la clé publique brute on-chain au format P2PK. Les coins de Satoshi y sont. Une part substantielle des premières récompenses de minage aussi. Beaucoup de ces sorties n'ont pas bougé depuis plus d'une décennie. Clés privées probablement perdues, propriétaires injoignables.

Cela soulève une question politique que le papier de Google pose explicitement : si un ordinateur quantique peut dériver ces clés privées, est-ce un vol ou autre chose ? Le papier ne tranche pas. La communauté non plus. BIP-361 propose un gel éventuel des coins vulnérables dans le chemin de migration. Le débat va être bruyant.

Si vous avez créé un portefeuille après 2012 avec un logiciel standard, vous utilisez presque certainement P2PKH, P2SH, P2WPKH ou P2TR. Ces formats hachent la clé publique avant de la poser on-chain. La clé publique ne s'expose qu'à la dépense. Les portefeuilles modernes dormants ne sont pas vulnérables au repos.


Ce que les développeurs Core construisent

Le travail post-quantique côté Bitcoin Core précède ce papier. Les résultats de Google l'ont accéléré.

Deux propositions sont en brouillon avec testnet fonctionnel. BIP-360 définit des types d'adresses quantiquement sûres reposant sur des schémas de signature post-quantiques. BIP-361 décrit une migration par phases qui donne aux détenteurs le temps de déplacer leurs coins avant un gel éventuel des sorties héritées. Pour l'analyse technique complète, lire BIP-360 et BIP-361, le chemin de mise à niveau quantique de Bitcoin.

Les contraintes d'ingénierie sont réelles. Les signatures post-quantiques pèsent plus lourd. CRYSTALS-Dilithium produit environ 2 420 octets de signature contre 72 octets pour ECDSA. Espace de bloc, frais et débit en prennent un coup. Tout changement de schéma de signature exige une mise à niveau de consensus sur chaque nœud. Le processus Bitcoin est délibéré, pas lent par accident : SegWit a pris des années entre proposition et activation, Taproot a suivi le même rythme. Ces problèmes sont traitables. Ils ne sont pas rapides.

Pour comprendre comment l'architecture du protocole Bitcoin gère les mises à niveau, voir Analyse technique approfondie.


Ce qu'il faut faire maintenant

Ne réutilisez pas les adresses. Quand vous recevez puis dépensez depuis une adresse, la clé publique reste exposée on-chain pour toujours sur cette adresse. Une adresse neuve par transaction garde la clé publique cachée jusqu'à la dépense. Tous les portefeuilles modernes génèrent automatiquement de nouvelles adresses de réception.

Utilisez les formats d'adresse modernes. Si votre portefeuille génère encore des adresses héritées commençant par "1", passez à un portefeuille qui supporte SegWit (bc1q) ou Taproot (bc1p). Ces formats hachent la clé publique et la maintiennent hors-chaîne jusqu'à la dépense. La plupart des hardware wallets utilisent ces formats par défaut. Le guide d'auto-conservation Bitcoin couvre le choix de portefeuille en détail.

Auditez vos anciens portefeuilles. Si vous tenez du Bitcoin depuis les débuts avec des coins en P2PK, les déplacer vers un format moderne reste la mesure de protection la plus concrète disponible aux premiers adoptants.

Suivez BIP-360 et BIP-361. Quand les propositions de signature post-quantiques arriveront à maturité d'activation, la communauté devra se coordonner. Comprendre le calendrier maintenant évite d'être pris de court à l'activation.

Pour les pratiques de sécurité, voir Portefeuilles, rester en sécurité. Pour les pratiques de confidentialité qui réduisent aussi l'exposition quantique, voir Confidentialité Bitcoin.


Références

  1. Babbush, R., Boneh, D., Drake, J., Gidney, C., Zalcman, A., Broughton, M., Khattar, T., Neven, H., Bergamaschi, T. et al. "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." arXiv:2603.28846, 30 mars 2026. PDF complet : https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf
  2. Cain, M. et al. "Shor's algorithm is possible with as few as 10,000 reconfigurable atomic qubits." arXiv:2603.28627, mars 2026.
  3. IACR ePrint 2026/625. Analyse cryptanalytique connexe.
  4. NIST. FIPS 203, 204, 205 (normes cryptographiques post-quantiques). Finalisés le 13 août 2024. https://csrc.nist.gov/projects/post-quantum-cryptography

Et maintenant

Nouveau dans Bitcoin ? Commencez par le chapitre 1. Il pose les bases nécessaires pour suivre cet article.

Vous détenez déjà ? Auditez votre configuration de portefeuille dans Portefeuilles, rester en sécurité et confirmez que vous utilisez des formats d'adresse modernes sans réutilisation. Cette combinaison reste votre meilleure protection aujourd'hui.

Questions fréquentes

Les ordinateurs quantiques peuvent-ils casser Bitcoin aujourd'hui ?+
Non. Le papier de Google de mars 2026 montre qu'un ordinateur quantique de moins de 500 000 qubits physiques pourrait casser la cryptographie sur courbe elliptique de Bitcoin. Les machines les plus grandes aujourd'hui ont environ 1 000 qubits bruyants, soit un écart de 500x avant même de prendre en compte les exigences de correction d'erreurs non encore satisfaites à grande échelle. Les machines quantiques cryptographiquement pertinentes sont estimées à 5 à 15 ans.
Combien de qubits faut-il pour casser Bitcoin ?+
Le papier de Google (arXiv:2603.28846) estime moins de 500 000 qubits physiques à des taux d'erreur de 10^-3, soit environ 1 200 qubits logiques après correction d'erreurs. Les estimations précédentes (Webber et al. 2022) situaient l'exigence entre 13 et 317 millions de qubits physiques. Ce papier représente une réduction de 20x de la borne inférieure, non une preuve qu'une machine opérationnelle est imminente.
Mon portefeuille Bitcoin est-il à l'abri des attaques quantiques ?+
Oui, pour l'instant, si vous utilisez des types d'adresses modernes. Les adresses P2WPKH (commençant par bc1q) et Taproot P2TR (bc1p) hachent votre clé publique, la gardant cachée jusqu'au moment de la dépense. Les coins dormants sur des adresses modernes ne sont pas vulnérables au repos. Les sorties P2PK héritées de la première ère du minage, avec des clés publiques exposées de façon permanente, portent le risque au repos.
Combien de Bitcoin sont exposés aux attaques quantiques aujourd'hui ?+
Environ 3,7 millions de BTC se trouvent dans des adresses P2PK ou P2PKH réutilisées avec des clés publiques exposées. Cela inclut une grande partie des produits de minage pré-2010 de Satoshi. Les développeurs de Bitcoin Core travaillent sur BIP-360 (adresses quantiques sûres) et BIP-361 (un plan de migration par phases). Voir l'[analyse approfondie de BIP-360/361](/fr/blog/bip-360-361-bitcoin-resistant-quantique) pour le chemin de protocole proposé.
SHA-256 et le minage Bitcoin sont-ils menacés par les ordinateurs quantiques ?+
Non. L'algorithme de Grover offre une accélération quadratique contre les fonctions de hachage, réduisant de moitié la sécurité effective de SHA-256 de 128 bits à 64 bits dans le pire des cas. Cela reste computationnellement infaisable. Les attaques quantiques sur la preuve de travail de Bitcoin sont hors de portée. La menace concerne les signatures ECDSA, non le minage ni la chaîne de hachage SHA-256.
Que doit faire un détenteur de Bitcoin à ce sujet maintenant ?+
Trois étapes concrètes : consolider tout coin P2PK ancien ou P2PKH réutilisé vers un type d'adresse moderne (bc1q ou bc1p), arrêter de réutiliser les adresses de réception, et suivre l'avancement de BIP-360/BIP-361 sur la liste de diffusion Bitcoin Core. Aucune action n'est urgente aujourd'hui. La fenêtre de migration se compte en années. Ce qui compte, c'est de ne pas être pris au dépourvu quand la mise à niveau sera déployée.
Approfondir

Ce sujet est traité en détail dans technical-deep-dive-optional.

Vous avez aimé cet article ?

Le guide Bitcoin complet — gratuit en ligne ou CHF 25 pour le livre physique.

Articles connexes

  • Casser SHA-256 Bitcoin avec Length Extension en 2026

    Casser SHA-256 Bitcoin avec Length Extension

  • BIP-360 et BIP-361 pourraient geler 6,9 millions de Bitcoin pour les protéger

    BIP-360 et BIP-361 Bitcoin Résistant au Quantique

Dans cet article

  • Le coût quantique pour casser Bitcoin a chuté de 20x
  • TL;DR
  • Ce que le papier dit réellement
  • Pourquoi la fenêtre d'attaque compte
  • L'écart est réel et le calendrier n'est pas infini
  • Le problème des 3,7 millions de BTC
  • Ce que les développeurs Core construisent
  • Ce qu'il faut faire maintenant
  • Références
  • Et maintenant
Dans cet article
  • Le coût quantique pour casser Bitcoin a chuté de 20x
  • TL;DR
  • Ce que le papier dit réellement
  • Pourquoi la fenêtre d'attaque compte
  • L'écart est réel et le calendrier n'est pas infini
  • Le problème des 3,7 millions de BTC
  • Ce que les développeurs Core construisent
  • Ce qu'il faut faire maintenant
  • Références
  • Et maintenant
MH
Mohamed Habbat

Auteur

A écrit ce livre sur cinq ans de recherche Bitcoin — parce qu'il avait besoin des réponses lui-même.

À propos de l'auteur
Approfondir

Ce sujet est traité en détail dans technical-deep-dive-optional.

Articles connexes

  • Casser SHA-256 Bitcoin avec Length Extension en 2026

    Casser SHA-256 Bitcoin avec Length Extension

    9 min de lecture

  • BIP-360 et BIP-361 pourraient geler 6,9 millions de Bitcoin pour les protéger

    BIP-360 et BIP-361 Bitcoin Résistant au Quantique

    9 min de lecture

  • Bitcoin Ordinals Inscriptions Expliquées

    Bitcoin Ordinals Inscriptions Expliquées

    9 min de lecture

BTC2H₿₿2H