Dans cet article
- Le coût quantique pour casser Bitcoin a chuté de 20x
- TL;DR
- Ce que le papier dit réellement
- Pourquoi la fenêtre d'attaque compte
- L'écart est réel et le calendrier n'est pas infini
- Le problème des 3,7 millions de BTC
- Ce que les développeurs Core construisent
- Ce qu'il faut faire maintenant
- Références
- Et maintenant
Le coût quantique pour casser Bitcoin a chuté de 20x
Je travaille dans l'espace de l'auto-conservation crypto. Le 30 mars 2026, une équipe de Google Quantum AI a publié un papier qui réduit d'un ordre de grandeur le coût estimé pour casser la cryptographie de Bitcoin, et qui prouve le résultat via une vérification à connaissance nulle. Rien n'a été cassé. La fenêtre de préparation s'est rétrécie.
Webber et al. (2022) tenait lieu de consensus depuis quatre ans : entre 13 et 317 millions de qubits physiques pour attaquer Bitcoin. Le papier de Google (arXiv:2603.28846, Babbush, Boneh, Drake, Gidney, Zalcman, Broughton, Khattar, Neven, Bergamaschi) ramène ce chiffre sous les 500 000. Compression de 20x de la borne inférieure. Le papier montre aussi que l'algorithme de Shor peut résoudre le problème du logarithme discret sur courbe elliptique 256 bits de Bitcoin avec environ 1 200 qubits logiques et 90 millions de portes Toffoli.
Les plus grands ordinateurs quantiques en fonctionnement aujourd'hui ont environ 1 000 qubits bruyants. Le seuil à 500 000 qubits laisse un écart de 500x, et cet écart suppose des taux d'erreur qu'aucun système n'a démontrés à grande échelle. La crise n'est pas pour cette année. Le calendrier vient juste de devenir lisible.
TL;DR
Le papier de Google du 30 mars 2026 (arXiv:2603.28846) ramène le coût quantique pour casser l'ECDSA de Bitcoin de plusieurs millions de qubits physiques à moins de 500 000, soit un facteur 20. Aucune machine actuelle n'approche ce seuil : les plus grosses tournent à environ 1 000 qubits bruyants, écart de 500x. Environ 3,7 millions de BTC dorment dans des adresses P2PK héritées et P2PKH réutilisées avec clé publique visible on-chain de façon permanente. Les formats modernes (P2WPKH, P2TR) hachent la clé publique et la cachent jusqu'à la dépense. Les développeurs Bitcoin Core rédigent BIP-360 et BIP-361 pour une migration post-quantique par phases. Le NIST a finalisé FIPS 203, 204 et 205 le 13 août 2024, avec dépréciation des signatures classiques en 2030 et interdiction en 2035. SHA-256 et la preuve de travail tiennent : Grover ne fait que diviser par deux la sécurité effective, ce qui reste hors de portée. Migrez vos coins anciens, arrêtez de réutiliser les adresses, suivez BIP-360/361.
Ce que le papier dit réellement
La liste d'auteurs compte. Ryan Babbush en tête (Google Quantum AI), Dan Boneh (cryptographe de Stanford), Justin Drake (chercheur Ethereum Foundation). Ce ne sont pas des commentateurs qui spéculent. Ils construisent le matériel quantique et écrivent les standards cryptographiques qui remplaceront ceux cassés.
Leur contribution : un paquet d'optimisations de l'algorithme de Shor qui réduit les ressources quantiques pour résoudre le problème du logarithme discret sur courbe elliptique (ECDLP) sous l'ECDSA de Bitcoin. La configuration alternative utilise 1 450 qubits logiques et 70 millions de portes Toffoli. Traduit en matériel physique avec architectures supraconductrices à 10^-3 d'erreur : moins de 500 000 qubits physiques.
La divulgation est responsable. L'équipe a utilisé une preuve à connaissance nulle pour valider leur résultat. Ils prouvent que l'approche fonctionne sans publier les optimisations exactes. La vulnérabilité est documentée. Le plan d'attaque reste sous embargo. La communauté gagne du temps pour réagir.
Un second papier (Cain et al., arXiv:2603.28627) converge sur un chemin matériel différent : qubits à atomes neutres reconfigurables au lieu de supraconducteurs. Leur analyse rend Shor faisable avec 10 000 qubits atomiques, mais sous 10^-4 d'erreur et avec des temps de cohérence en secondes qu'aucun système ne tient encore. Deux groupes indépendants convergeant vers des seuils proches pèse plus lourd qu'un seul papier.
Pour le papier complet de Google : https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf
Pourquoi la fenêtre d'attaque compte
Bitcoin prouve la propriété via ECDSA. La clé privée signe. La clé publique vérifie. L'hypothèse de sécurité : remonter de la publique à la privée est computationnellement infaisable. Sur matériel classique, ça reste vrai. Sur matériel quantique exécutant Shor, ça tombe. Le guide sécurité des phrases de récupération BIP39 couvre la mécanique des clés en détail.
L'exposition dépend du moment où votre clé publique devient visible.
Exposition à la dépense. Quand vous diffusez une transaction, la clé publique apparaît dans la mempool avant que le bloc soit miné. Un attaquant quantique branché sur la mempool dispose d'une fenêtre en minutes (l'abstract de Google parle de minutes à vitesses d'horloge élevées, le chiffre exact varie selon le matériel). Le temps de bloc Bitcoin est de 10 minutes. Le papier traite ce chevauchement frontalement.
Exposition au repos. Les portefeuilles dormants dont la clé publique est déjà on-chain restent en danger en permanence. Les adresses P2PK de 2009 à environ 2012 stockent la clé publique brute dans la sortie. Environ 3,7 millions de BTC y dorment, dont une bonne part des coins de Satoshi. Un attaquant quantique peut les cibler quand il veut, sans attendre une transaction. Pour mémoire : le record de factorisation par Shor sur matériel quantique réel reste à 21 (atteint en 2012). Rien de cryptographiquement significatif n'a encore été factorisé. L'avantage quantique commence là où le calcul classique s'arrête.
Pour le fonctionnement des adresses et des formats de clés, voir Envoyer et recevoir du Bitcoin et Analyse technique approfondie.
L'écart est réel et le calendrier n'est pas infini
L'écart de 500x entre le matériel actuel et le seuil d'attaque n'est pas du bruit. Passer de 1 000 qubits bruyants à 500 000 qubits haute-fidélité oblige à résoudre simultanément fabrication, correction d'erreurs et cohérence. Aucun groupe de recherche ne s'est publiquement déclaré proche.
L'objectif interne de migration post-quantique de Google est 2029. Ils préparent leurs systèmes non parce qu'ils attendent une machine cryptographiquement pertinente d'ici là, mais parce qu'ils jugent le risque non négligeable dans les années suivantes. La société qui construit le matériel vous dit que la fenêtre compte. Ce signal a une nature particulière.
Le calendrier NIST donne une charpente concrète. FIPS 203, 204 et 205 (premiers standards post-quantiques, couvrant CRYSTALS-Kyber, CRYSTALS-Dilithium et SPHINCS+) ont été finalisés le 13 août 2024. Calendrier : signatures classiques dépréciées d'ici 2030, interdites d'ici 2035. Les systèmes fédéraux américains s'y conforment. Bitcoin ne répond pas au NIST. Mais le calendrier de l'écosystème cryptographique sert de plancher pour calibrer l'urgence.
Ce qui devrait retenir l'attention, c'est la vélocité. L'estimation Webber tenait depuis quatre ans. Un seul papier a déplacé la borne d'un facteur 20. Les améliorations de recherche se composent. Les attaques s'améliorent. Elles ne reviennent jamais en arrière.
Le problème des 3,7 millions de BTC
Les adresses Bitcoin ne sont pas exposées à parts égales. Le risque se concentre dans les sorties P2PK des premières années.
De 2009 à environ 2012, les transactions Bitcoin stockaient la clé publique brute on-chain au format P2PK. Les coins de Satoshi y sont. Une part substantielle des premières récompenses de minage aussi. Beaucoup de ces sorties n'ont pas bougé depuis plus d'une décennie. Clés privées probablement perdues, propriétaires injoignables.
Cela soulève une question politique que le papier de Google pose explicitement : si un ordinateur quantique peut dériver ces clés privées, est-ce un vol ou autre chose ? Le papier ne tranche pas. La communauté non plus. BIP-361 propose un gel éventuel des coins vulnérables dans le chemin de migration. Le débat va être bruyant.
Si vous avez créé un portefeuille après 2012 avec un logiciel standard, vous utilisez presque certainement P2PKH, P2SH, P2WPKH ou P2TR. Ces formats hachent la clé publique avant de la poser on-chain. La clé publique ne s'expose qu'à la dépense. Les portefeuilles modernes dormants ne sont pas vulnérables au repos.
Ce que les développeurs Core construisent
Le travail post-quantique côté Bitcoin Core précède ce papier. Les résultats de Google l'ont accéléré.
Deux propositions sont en brouillon avec testnet fonctionnel. BIP-360 définit des types d'adresses quantiquement sûres reposant sur des schémas de signature post-quantiques. BIP-361 décrit une migration par phases qui donne aux détenteurs le temps de déplacer leurs coins avant un gel éventuel des sorties héritées. Pour l'analyse technique complète, lire BIP-360 et BIP-361, le chemin de mise à niveau quantique de Bitcoin.
Les contraintes d'ingénierie sont réelles. Les signatures post-quantiques pèsent plus lourd. CRYSTALS-Dilithium produit environ 2 420 octets de signature contre 72 octets pour ECDSA. Espace de bloc, frais et débit en prennent un coup. Tout changement de schéma de signature exige une mise à niveau de consensus sur chaque nœud. Le processus Bitcoin est délibéré, pas lent par accident : SegWit a pris des années entre proposition et activation, Taproot a suivi le même rythme. Ces problèmes sont traitables. Ils ne sont pas rapides.
Pour comprendre comment l'architecture du protocole Bitcoin gère les mises à niveau, voir Analyse technique approfondie.
Ce qu'il faut faire maintenant
Ne réutilisez pas les adresses. Quand vous recevez puis dépensez depuis une adresse, la clé publique reste exposée on-chain pour toujours sur cette adresse. Une adresse neuve par transaction garde la clé publique cachée jusqu'à la dépense. Tous les portefeuilles modernes génèrent automatiquement de nouvelles adresses de réception.
Utilisez les formats d'adresse modernes. Si votre portefeuille génère encore des adresses héritées commençant par "1", passez à un portefeuille qui supporte SegWit (bc1q) ou Taproot (bc1p). Ces formats hachent la clé publique et la maintiennent hors-chaîne jusqu'à la dépense. La plupart des hardware wallets utilisent ces formats par défaut. Le guide d'auto-conservation Bitcoin couvre le choix de portefeuille en détail.
Auditez vos anciens portefeuilles. Si vous tenez du Bitcoin depuis les débuts avec des coins en P2PK, les déplacer vers un format moderne reste la mesure de protection la plus concrète disponible aux premiers adoptants.
Suivez BIP-360 et BIP-361. Quand les propositions de signature post-quantiques arriveront à maturité d'activation, la communauté devra se coordonner. Comprendre le calendrier maintenant évite d'être pris de court à l'activation.
Pour les pratiques de sécurité, voir Portefeuilles, rester en sécurité. Pour les pratiques de confidentialité qui réduisent aussi l'exposition quantique, voir Confidentialité Bitcoin.
Références
- Babbush, R., Boneh, D., Drake, J., Gidney, C., Zalcman, A., Broughton, M., Khattar, T., Neven, H., Bergamaschi, T. et al. "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." arXiv:2603.28846, 30 mars 2026. PDF complet : https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf
- Cain, M. et al. "Shor's algorithm is possible with as few as 10,000 reconfigurable atomic qubits." arXiv:2603.28627, mars 2026.
- IACR ePrint 2026/625. Analyse cryptanalytique connexe.
- NIST. FIPS 203, 204, 205 (normes cryptographiques post-quantiques). Finalisés le 13 août 2024. https://csrc.nist.gov/projects/post-quantum-cryptography
Et maintenant
Nouveau dans Bitcoin ? Commencez par le chapitre 1. Il pose les bases nécessaires pour suivre cet article.
Vous détenez déjà ? Auditez votre configuration de portefeuille dans Portefeuilles, rester en sécurité et confirmez que vous utilisez des formats d'adresse modernes sans réutilisation. Cette combinaison reste votre meilleure protection aujourd'hui.
