On ne peut vraiment pas être trop optimiste ? Deux articles sur l'informatique quantique publiés le même jour font baisser le seuil de rentabilité du bitcoin de deux ordres de grandeur

Dans l'après-midi du 31 mars, le Bitcoin a inversé la tendance haussière observée en début de journée, chutant rapidement sous la barre des 67 000 dollars, tandis que l'indice de peur et d'avidité du marché glissait à 28. Une image largement diffusée sur les réseaux sociaux montrait que le nombre de bits quantiques nécessaires pour pirater une clé privée Bitcoin à l'aide d'un ordinateur quantique était passé d'un million à un millier. Un chercheur de Google Quantum AI a lancé un avertissement selon lequel une attaque quantique pourrait détourner une transaction Bitcoin en cours de diffusion en 9 minutes, avec environ 41 % de chances de mener à bien le vol avant la confirmation. Environ 6,9 millions de bitcoins dont les clés publiques ont été divulguées dorment actuellement sur la blockchain, dans l'attente que la puissance de calcul rattrape la théorie.

Cette vague de panique a été déclenchée par deux articles publiés presque simultanément la veille. L'un venait de l'équipe Google Quantum AI, et l'autre de la société Oratomic, spécialisée dans l'informatique quantique à atomes neutres. Pris individuellement, chacun d'entre eux a constitué une avancée majeure dans son domaine respectif. Cependant, considérées dans leur ensemble, elles visaient différentes couches de la pile informatique quantique, ce qui a entraîné un effet multiplicateur direct.

Justin Drake, chercheur au sein de l'équipe principale d'Ethereum, a qualifié cette journée de « journée historique pour l'informatique quantique et la cryptographie » dans un tweet. Il a participé à la rédaction de l'article de l'équipe de Google qui a perfectionné l'algorithme de Shor, l'algorithme d'attaque quantique le plus célèbre dans le domaine de la cryptographie, spécialement conçu pour venir à bout du chiffrement RSA et du chiffrement à courbe elliptique. L'algorithme de signature secp256k1 utilisé par Bitcoin et Ethereum relève de la cryptographie à courbe elliptique.

Pourquoi était-ce vraiment effrayant lorsque les deux documents ont été mis bout à bout ? En effet, le nombre total de bits quantiques physiques nécessaires pour casser une signature à courbe elliptique = le nombre de bits quantiques logiques (combien d'unités de calcul « propres » sont nécessaires au niveau algorithmique) × le nombre de bits physiques requis par bit logique (combien de matériel « redondant » est nécessaire au niveau de la correction d'erreurs pour maintenir une unité propre). L'article de Google portait sur la compression de la première, tandis que celui d'Oratomic traitait de la compression de la seconde. À mesure que le numérateur et le dénominateur diminuent, le produit s'effondre.

Selon un article présenté lors de la conférence EUROCRYPT 2026, le nombre de bits quantiques logiques nécessaires pour casser une courbe elliptique de 256 bits est passé de 2 330 en 2017 (selon l'article de référence de Roetteler et al.) à 2 124 en 2020 (selon l'amélioration apportée par Haner et al.), puis à 1 098 en mars 2026. En neuf ans, les exigences algorithmiques ont été réduites de plus de moitié. L'article de l'équipe de Google est allé plus loin en optimisant le code pour la courbe secp256k1 utilisée par Bitcoin et Ethereum, réduisant ainsi le nombre de bits logiques requis à environ 1 000, avec une profondeur de circuit d'environ 100 millions de portes de Toffoli seulement (comme l'a décrit Justin Drake en citant CryptoBriefing), ce qui correspond à environ 1 000 secondes d'exécution de l'algorithme de Shor sur une plateforme supraconductrice.

Par ailleurs, selon les données de l'article d'Oratomic cité dans le tweet, l'approche par atomes neutres permet de réduire le nombre de qubits physiques nécessaires par qubit logique, qui passe d'environ 400 dans les codes de surface traditionnels à environ 10. Le principe de cette avancée est totalement différent de celui de Google. Google a optimisé l'efficacité de l'algorithme lui-même, tandis qu'Oratomic a optimisé la charge liée à la correction d'erreurs du matériel sous-jacent. Ces deux améliorations peuvent être combinées.

La multiplication de ces deux chiffres : l'estimation de 2017 s'élevait à environ 7 millions de bits quantiques physiques, tandis que celle de la feuille de route sur les atomes neutres, datée de mars 2026, est d'environ 10 000. La demande totale est passée de plusieurs millions à quelques milliers, soit une baisse de plus de deux ordres de grandeur.

Cet effet multiplicateur a donné lieu à deux modes d'attaque totalement différents.

D'après les estimations compilées à partir de tweets, la feuille de route sur la supraconductivité (l'orientation de recherche de Google) nécessite environ 500 000 bits quantiques physiques et environ 9 minutes pour pirater une clé privée, ce qui est suffisamment rapide pour détourner des transactions en temps réel. La feuille de route des atomes neutres (axe de recherche d'Oratomic) ne nécessite qu'environ 10 000 bits quantiques physiques, mais la durée d'exécution s'étend à environ 10 jours. Ce n'est pas un problème, car cette attaque vise les portefeuilles inactifs dont les clés publiques sont exposées, et n'est pas soumise à des contraintes de temps.

Comment comprendre cet écart ? Le processeur Willow le plus puissant de Google à l'heure actuelle compte 105 bits quantiques supraconducteurs (selon les spécifications de Google Quantum AI), ce qui le place encore à environ 4 762 fois le seuil des 500 000 bits. Cependant, le système informatique tolérant aux pannes dans le champ d'atomes neutres a déjà atteint environ 500 qubits, soit seulement une vingtaine de fois moins que le seuil des 10 000. Si l'on considère l'échelle physique du réseau plutôt que la capacité de tolérance aux pannes, le laboratoire a déjà piégé plus de 6 100 atomes, réduisant ainsi l'écart à moins de deux fois.

20 fois et 4 762 fois, ce sont deux ordres de grandeur totalement différents. La feuille de route pour l'atome neutre est plus proche que la plupart des gens ne l'imaginent.

Du côté du Bitcoin, la situation est loin d'être prête à faire face à ce changement.

Selon un rapport conjoint publié par Ark Invest et Unchained, environ 7 millions de bitcoins (soit environ 33 % de l'offre totale) sont exposés au risque quantique, pour une valeur estimée entre 440 et 480 milliards de dollars. Ces adresses vulnérables se répartissent en trois catégories. Environ 1,7 million se trouvent dans des adresses P2PK de première génération, dont les clés publiques sont directement exposées sur la blockchain, et la plupart ont été perdues, personne n'étant en mesure d'effectuer la migration. Environ 1,1 million d'entre eux appartiennent à Satoshi Nakamoto et sont répartis sur quelque 22 000 adresses, l'identité des détenteurs restant inconnue. Les quelque 4,2 millions restants concernent des adresses réutilisées ou des adresses P2TR, pour lesquelles les clés publiques ont également été divulguées, mais où, en théorie, les détenteurs peuvent les transférer de manière proactive vers des adresses sécurisées.

En d'autres termes, environ 2,8 millions de bitcoins (soit 40 % de l'offre totale, déjà fragile) sont irrécupérables. Soit leurs clés privées ont été perdues, soit leurs détenteurs ne se manifesteront jamais. Il ne s'agit pas d'un problème que la technologie peut résoudre, mais d'une question de gouvernance visant à déterminer si la communauté doit geler ces adresses inévitablement compromises. Selon un rapport publié en février par CoinDesk, la communauté Bitcoin débat avec acharnement de l'opportunité de geler les 1,1 million de BTC détenus par Satoshi, sans qu'aucun consensus n'ait été trouvé à ce jour.

Même pour les 4,2 millions de bitcoins théoriquement transférables, la migration n'est pas automatique. Les détenteurs doivent transférer de leur propre initiative leurs actifs depuis leurs anciennes adresses vers des adresses utilisant un nouveau système de signature, et l'expérience montre qu'un grand nombre d'entre eux n'agiront pas avant la date limite.

Face à cette même menace, les stratégies adoptées par les trois principales blockchains ont considérablement divergé.

Selon le site pq.ethereum.org lancé par la Fondation Ethereum le 25 mars 2026, Ethereum se prépare depuis huit ans et dispose d'une feuille de route complète en plusieurs étapes : le remplacement du schéma de signature BLS actuel par des signatures de hachage leanXMSS, l'objectif étant d'achever la mise à niveau du protocole L1 d'ici 2029. Plus de dix équipes clientes effectuent chaque semaine des tests d'interopérabilité sur le réseau de développement post-quantique, et les utilisateurs peuvent migrer progressivement grâce à l'abstraction de compte, sans qu'un hard fork soit nécessaire. Google s'est fixé l'échéance de 2029 pour achever sa migration interne vers une architecture post-quantique (selon le blog de sécurité de Google), ce qui correspond au calendrier d'Ethereum.

Solana adopte une approche expérimentale. Le « Winternitz Vault », proposé par Dean Little, directeur scientifique de Zeus Network, sur GitHub en décembre 2025, utilise un mécanisme de coffre-fort d'assurance à usage unique basé sur un hachage. Il s'agit toutefois d'une solution facultative, qui nécessite que les utilisateurs s'y inscrivent de leur propre initiative, et aucun calendrier officiel n'a été fixé.

C'est le bitcoin qui se trouve dans la situation la plus critique. Il n'y a ni plan coordonné, ni financement spécifique au niveau de la fondation, ni calendrier. Le modèle de gouvernance du Bitcoin nécessite un consensus décentralisé à l'échelle de la communauté pour faire évoluer le protocole, et cette communauté a toujours été réputée pour sa lenteur. Selon le rapport « Quantum Threat Timeline 2026 » du Global Risk Institute, l'informatique quantique applicable à la cryptographie a « de fortes chances » de voir le jour d'ici dix ans et « de très fortes chances » d'ici quinze ans. Si l'objectif fixé par Ethereum pour 2029 se déroule comme prévu, la migration sera achevée avant la fin de la période prévue. Le bitcoin n'en est encore qu'aux prémices du débat.

Deux articles publiés le même jour ont chiffré concrètement une menace qui planait depuis longtemps sur le plan théorique : 10 000 bits quantiques physiques, 10 jours, la clé privée d'un portefeuille inactif.

Il convient toutefois de souligner qu'il s'agit là d'un abaissement significatif d'un seuil théorique, et non d'une attaque ponctuelle imminente. Les systèmes à atomes neutres les plus avancés à l'heure actuelle sont encore à environ un ordre de grandeur de la barre des 10 000 qubits tolérants aux pannes, la voie des supraconducteurs accusant un retard de plusieurs ordres de grandeur. Il reste encore une marge de manœuvre de 10 à 15 ans, ce qui donne à la communauté Bitcoin une chance de s'en sortir. Le Bitcoin a surmonté les défis de gouvernance passés, tels que la guerre de la taille des blocs et l'activation de SegWit, tous très controversés, pour finalement trouver un terrain d'entente sous la pression. La nature de la menace quantique diffère d'un différend en matière de gouvernance ; elle n'implique pas de conflit d'intérêts, mais constitue un risque commun auquel est confronté l'ensemble du réseau. Cela pourrait, en effet, constituer un facteur externe susceptible de stimuler une action accélérée au sein de la communauté Bitcoin.

La vraie question n'est pas de savoir si l'informatique quantique peut mettre fin au Bitcoin, mais si la communauté Bitcoin sera capable de se préparer à temps avant qu'il ne soit trop tard.