Les craintes d'un "Jour du Jugement" quantique pour Bitcoin sont exagérées, selon les recherches d'a16z

Un nouveau document de recherche d'a16z crypto soutient que les récits apocalyptiques sur les ordinateurs quantiques tuant instantanément le Bitcoin sont mal alignés avec la réalité, et que le véritable risque pour les blockchains réside dans des migrations longues et désordonnées plutôt que dans un effondrement soudain de type "Jour-Q". L'article a déjà déclenché une vive réfutation sur X de la part d'investisseurs qui affirment que la menace est plus proche et plus difficile que ne le suggère a16z.

Le Bitcoin n'est pas condamné par l'informatique quantique : a16z

Dans l'article "L'informatique quantique et les blockchains : Faire correspondre l'urgence aux menaces réelles", le partenaire de recherche d'a16z et professeur d'informatique à Georgetown Justin Thaler donne le ton dès le début, écrivant que "Les délais pour un ordinateur quantique cryptographiquement pertinent sont fréquemment surestimés — conduisant à des appels à des transitions urgentes et globales vers la cryptographie post-quantique." Il soutient que ce battage médiatique déforme les analyses coûts-avantages et distrait les équipes de risques plus immédiats tels que les bugs d'implémentation.

Thaler définit un "ordinateur quantique cryptographiquement pertinent" (CRQC) comme une machine entièrement corrigée d'erreurs capable d'exécuter l'algorithme de Shor à une échelle où il peut casser RSA-2048 ou des schémas de courbe elliptique comme secp256k1 en environ un mois d'exécution. Selon son évaluation, un CRQC dans les années 2020 est "hautement improbable", et les jalons publics ne justifient pas les affirmations selon lesquelles un tel système est probable avant 2030.

Il souligne qu'à travers les plateformes à ions piégés, supraconductrices et à atomes neutres, aucun dispositif n'est proche des centaines de milliers à millions de qubits physiques, avec les taux d'erreur requis et la profondeur de circuit, qui seraient nécessaires pour la cryptanalyse.

Au lieu de cela, l'article d'a16z trace une ligne nette entre le chiffrement et les signatures. Thaler soutient que les attaques de type récolter-maintenant-déchiffrer-plus-tard (HNDL) rendent déjà urgente la cryptographie post-quantique pour les données qui doivent rester confidentielles pendant des décennies, ce qui explique pourquoi les grands fournisseurs déploient l'établissement de clés post-quantiques hybrides dans TLS et la messagerie.

Mais il insiste sur le fait que les signatures, y compris celles sécurisant Bitcoin et Ethereum, font face à un calcul différent : elles ne protègent pas les données cachées qui peuvent être déchiffrées rétroactivement, et une fois qu'un CRQC existe, l'attaquant ne peut falsifier les signatures que pour l'avenir.

Sur cette base, le document affirme que "la plupart des chaînes non-privées" ne sont pas exposées au risque quantique de style HNDL au niveau du protocole, car leurs registres sont déjà publics ; l'attaque pertinente est la falsification de signatures pour voler des fonds, et non le déchiffrement des données on-chain.

Maux de tête spécifiques au Bitcoin

Thaler signale toujours que Bitcoin a des "maux de tête spéciaux" en raison de sa gouvernance lente, de son débit limité et des grands pools de pièces exposées, potentiellement abandonnées, dont les clés publiques sont déjà on-chain, mais il encadre la fenêtre temporelle pour une attaque sérieuse en termes d'au moins une décennie, pas quelques années.

"Bitcoin change lentement. Tout problème litigieux pourrait déclencher un Hard Fork dommageable si la communauté ne peut pas s'accorder sur la solution appropriée", écrit Thaler, ajoutant "une autre préoccupation est que le passage de Bitcoin aux signatures post-quantiques ne peut pas être une migration passive : les propriétaires doivent activement migrer leurs pièces."

De plus, Thalen signale un "problème final spécifique à Bitcoin" qui est son faible débit de transaction. "Même une fois les plans de migration finalisés, la migration de tous les fonds vulnérables au quantique vers des adresses sécurisées post-quantiques prendrait des mois au taux de transaction actuel de Bitcoin", dit Thaler.

Il est également sceptique quant à la précipitation vers des schémas de signature post-quantiques au niveau de la couche de base. Les signatures basées sur le hachage sont conservatrices mais extrêmement volumineuses, souvent plusieurs kilo-octets, tandis que les schémas basés sur les réseaux comme ML-DSA et Falcon du NIST sont compacts mais complexes et ont déjà produit de multiples vulnérabilités de canaux latéraux et d'injection de fautes dans les implémentations du monde réel. Thaler avertit que les blockchains risquent d'affaiblir leur sécurité si elles se précipitent trop tôt dans des primitives post-quantiques immatures sous la pression des gros titres.

La réaction la plus vigoureuse est venue du cofondateur de Castle Island Ventures, Nic Carter, et du PDG de Project 11, Alex Pruden. Carter a résumé son point de vue sur X en disant que le travail d'a16z "sous-estime considérablement la nature de la menace et surestime le temps dont nous disposons pour nous préparer", dirigeant ses followers vers un long fil de Pruden.

Pruden commence par souligner son respect pour Thaler et l'équipe d'a16z, mais ajoute : "Je ne suis pas d'accord avec l'argument selon lequel l'informatique quantique n'est pas un problème urgent pour les blockchains. La menace est plus proche, les progrès plus rapides et la solution plus difficile que ce qu'il présente et que ce que la plupart des gens réalisent."

Il soutient que les résultats techniques récents, et non le marketing, devraient ancrer la discussion. Citant les systèmes à atomes neutres qui prennent désormais en charge plus de 6 000 qubits physiques, Pruden souligne que "nous avons maintenant un système non de recuit avec plus de 6000 qubits physiques dans l'architecture à atomes neutres", contredisant directement toute implication selon laquelle seules les architectures de recuit non évolutives ont atteint cette échelle. Il note que des travaux tels que le réseau de pinces optiques à 6 100 qubits de Caltech montrent que les plateformes à atomes neutres cohérentes et à température ambiante sont déjà une réalité.

Sur la correction d'erreurs, Pruden écrit que "la correction d'erreurs par code de surface a été démontrée expérimentalement l'année dernière, la faisant passer d'un problème de recherche à un problème d'ingénierie", et souligne les avancées rapides dans les codes de couleur et les codes LDPC.

Il met en évidence les estimations mises à jour de Google "Tracking the Cost of Quantum Factoring", qui montrent qu'un ordinateur quantique avec environ un million de qubits physiques bruyants fonctionnant pendant environ une semaine pourrait, en principe, casser RSA-2048 — une réduction par vingt par rapport à l'estimation de Google de 2019 de vingt millions de qubits. "Les estimations de ressources pour un CRQC exécutant l'algorithme de Shor ont chuté de deux ordres de grandeur en six mois", note-t-il, concluant : "Dire que cette trajectoire de progrès pourrait potentiellement livrer un ordinateur quantique avant 2030 n'est pas une exagération."

Là où Thaler met l'accent sur HNDL comme un problème de chiffrement, Pruden recadre les blockchains comme des cibles quantiques particulièrement attrayantes. Il souligne que "les clés publiques utilisées dans les signatures numériques sont tout aussi faciles à récolter que les messages chiffrés", mais dans les blockchains, ces clés sont directement liées à une valeur visible. Il souligne que "ces clés publiques sont distribuées et directement associées à une valeur (150 milliards de dollars pour le BTC de Satoshi seul)", et qu'une fois qu'un adversaire quantique peut falsifier des signatures, "Si vous pouvez falsifier une signature, vous pouvez voler l'actif indépendamment du moment où cet UTXO/compte original a été créé."

Pour Pruden, cette réalité économique signifie que "les incitations économiques indiquent simplement et clairement les blockchains comme étant le premier cas d'utilisation quantique cryptographiquement pertinent", même si d'autres secteurs font également face à des risques HNDL. Il ajoute que "les blockchains seront beaucoup plus lentes à migrer que les systèmes centralisés. Une banque peut mettre à niveau sa pile. Les blockchains doivent atteindre un consensus mondial, absorber les compromis de performance des signatures PQ et coordonner des millions d'utilisateurs pour migrer leurs clés."

Invoquant le passage pluriannuel d'Ethereum de la preuve de travail à la preuve d'enjeu, il écrit : "La chose la plus proche était la transition d'ETH 1.0 vers 2.0 qui a pris des années, et aussi complexe que c'était, une migration PQ est beaucoup plus difficile. Quiconque pense qu'il s'agit simplement de remplacer quelques lignes de code de signature n'a jamais livré, déployé ou maintenu une blockchain de production."

Pruden est d'accord avec Thaler sur le fait que la panique est dangereuse, mais inverse la conclusion : "Je suis d'accord que se précipiter est dangereux. Mais c'est exactement pourquoi le travail doit commencer maintenant. Le mode d'échec le plus probable est que l'industrie attende trop longtemps, puis qu'un jalon QC majeur déclenche une panique." Il conclut en disant qu'il n'est pas d'accord avec le fait que "l'informatique quantique progresse lentement", que "les blockchains sont moins vulnérables que les systèmes exposés au risque HNDL", ou que "l'industrie a des années de marge avant que l'action ne soit nécessaire", soutenant que "Ces trois hypothèses sont en contradiction avec la réalité."

Au moment de mettre sous presse, le Bitcoin se situait à 91 616 $.