À mesure que les progrès de l’informatique quantique obligent les cryptographes à repenser les fondements mathématiques de la sécurité numérique, l’industrie des cryptomonnaies est confrontée à une question à la fois unique et urgente : comment migrer des milliards de dollars d’actifs protégés par la cryptographie à courbes elliptiques vers des schémas de signatures résistants au quantique sans briser les réseaux qui les sécurisent ?
La menace quantique pour la crypto : réelle mais pas imminente
Bitcoin (BTC) et Ethereum (ETH) reposent tous deux sur un algorithme de signature appelé ECDSA, basé sur la courbe elliptique secp256k1, pour prouver la propriété des fonds. La sécurité de chaque transaction dépend d’une seule hypothèse mathématique : dériver une clé privée à partir de sa clé publique correspondante est infaisable computationnellement pour des ordinateurs classiques.
L’algorithme de Shor, publié pour la première fois par le mathématicien Peter Shor en 1994, pulvérise cette hypothèse.
Exécuté sur un ordinateur quantique suffisamment puissant, il ramène le problème du logarithme discret sur courbe elliptique à un temps polynomial — ce qui signifie qu’il pourrait extraire des clés privées assez vite pour vider n’importe quel portefeuille dont la clé publique a été exposée on-chain.
Le matériel nécessaire pour mener cette attaque n’existe pas encore. Les estimations actuelles suggèrent que casser secp256k1 exigerait environ 2 330 à 2 500 qubits logiques, soit approximativement 13 millions de qubits physiques pour une attaque d’une journée. Les processeurs quantiques les plus avancés aujourd’hui fonctionnent avec un peu plus de 100 qubits.
L’algorithme de Grover, l’autre menace quantique souvent évoquée, cible les fonctions de hachage plutôt que les signatures. Il n’offre qu’une accélération quadratique, réduisant la sécurité de SHA-256 de 256 bits à 128 bits — ce qui nécessite toujours 2 puissance 128 opérations, un niveau qui reste pratiquement incassable.
Le mécanisme de preuve de travail de Bitcoin n’est pas menacé par l’informatique quantique. Son schéma de signatures, si.
Le débat sur le calendrier oppose fortement optimistes et pessimistes.
Jensen Huang, PDG de Nvidia, situe l’arrivée d’ordinateurs quantiques utiles « probablement dans vingt ans ».
Adam Back, PDG de Blockstream et cypherpunk, a rejeté les mises en garde de court terme, arguant que des échéances comme 2028 ne sont pas réalistes.
À l’opposé, Shohini Ghose, CTO du Quantum Algorithms Institute, a averti que la communauté n’est pas assez alarmée, rappelant qu’au moment même où l’informatique quantique a été proposée, toute la cryptographie à clé publique existante est devenue conceptuellement vulnérable.
Le sondage 2024 du Global Risk Institute auprès de 32 experts a estimé la probabilité de voir apparaître un ordinateur quantique pertinent pour la cryptographie dans les dix ans entre 19 et 34 %, contre 17 à 31 % en 2023. La plupart des spécialistes convergent vers le début ou le milieu des années 2030 comme fenêtre la plus probable.
À lire aussi : Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
Ce que signifie réellement la cryptographie post-quantique
La cryptographie post-quantique, ou PQC, désigne une famille d’algorithmes cryptographiques conçus pour résister aux attaques menées à la fois par des ordinateurs classiques et quantiques.
Contrairement à la cryptographie quantique, qui s’appuie sur la mécanique quantique elle-même pour la distribution de clés, la PQC fonctionne entièrement sur du matériel conventionnel. Cette distinction est cruciale pour la blockchain, car elle signifie que les nœuds et portefeuilles existants peuvent adopter ces schémas sans équipement quantique spécialisé.
Cinq grandes familles d’algorithmes PQC ont émergé de décennies de recherche académique.
Chacune adopte une approche mathématique fondamentalement différente pour construire des problèmes que les ordinateurs quantiques ne peuvent pas résoudre efficacement, et chacune présente son propre ensemble de compromis en termes de taille de signature, de rapidité de calcul et d’hypothèses de sécurité.
À lire aussi : Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
Cryptographie à réseaux : la favorite
Les schémas basés sur les réseaux dominent le paysage post-quantique. Les deux algorithmes les plus en vue — CRYSTALS-Kyber (désormais normalisé sous le nom ML-KEM) pour l’encapsulation de clés et CRYSTALS-Dilithium (désormais ML-DSA) pour les signatures numériques — tirent leur sécurité du problème Module Learning With Errors. En termes simplifiés, il s’agit de retrouver un vecteur secret à partir d’un système d’équations linéaires bruitées définies sur un réseau mathématique structuré.
Les opérations sous-jacentes se réduisent à de l’arithmétique polynomiale et à des évaluations de fonctions de hachage, ce qui rend les schémas à réseaux rapides et largement déployables sur diverses plates-formes matérielles.
Au plus bas niveau de sécurité, ML-DSA produit des signatures d’environ 2 420 octets, avec des clés publiques de 1 312 octets, soit environ 38 fois la taille des signatures compactes de 64 octets produites aujourd’hui par ECDSA.
Cette augmentation de taille est gérable pour la plupart des applications internet. Pour les blockchains, où chaque octet dans une transaction impacte directement le débit et les frais, cela représente une contrainte d’ingénierie sérieuse.
À lire aussi : Hyperliquid Hits 44% Of All Perp DEX Volume
Signatures à base de hachage : conservatrices mais coûteuses
La cryptographie basée sur les fonctions de hachage offre les garanties de sécurité les plus conservatrices de toutes les familles PQC. SPHINCS+, désormais normalisé sous le nom SLH-DSA, repose uniquement sur les propriétés des fonctions de hachage elles-mêmes, sans hypothèses algébriques susceptibles de céder face à une future percée mathématique.
Le schéma construit ce que les cryptographes appellent une « hypertree » — une structure en couches de signatures à usage unique de type Winternitz reliées par des arbres de Merkle — permettant une signature illimitée et sans état à partir d’une seule paire de clés.
Le compromis est sévère.
Les signatures produites par SLH-DSA vont d’environ 7 856 à 49 856 octets selon le jeu de paramètres choisi, et le processus de signature est environ 100 fois plus lent que les alternatives à réseaux.
XMSS, la variante avec état, génère des signatures plus compactes, de l’ordre de 2 500 à 5 000 octets, mais exige un suivi rigoureux des clés à usage unique déjà utilisées. Réutiliser une clé détruit toutes les garanties de sécurité.
Pour la blockchain, les schémas basés sur le hachage posent un paradoxe. Leurs hypothèses de sécurité sont les plus solides de toutes les familles PQC, mais la taille de leurs signatures pourrait les rendre impraticables pour les chaînes à haut débit.
À lire aussi : Circle Wants The EU To Let Stablecoins Settle Trades
Cryptographie à codes et autres approches : forces et échecs
La cryptographie à base de codes, illustrée par Classic McEliece, s’appuie sur la difficulté de décoder des codes linéaires aléatoires — un problème proposé pour la première fois en 1978 et qui a résisté à quatre décennies de cryptanalyse soutenue.
Ses clés publiques sont énormes, allant de 261 Ko à 1,3 Mo, mais ses chiffrés sont minuscules, entre 128 et 240 octets. HQC, un schéma à codes plus récent, a été sélectionné par le NIST en mars 2025 comme mécanisme de secours pour l’encapsulation de clés.
La cryptographie multivariée repose sur la NP-difficulté de la résolution de systèmes d’équations quadratiques multivariées sur des corps finis.
Rainbow, le candidat phare de cette famille, a été cassé de façon catastrophique en février 2022 par le chercheur Ward Beullens, qui a récupéré des clés secrètes sur un simple ordinateur portable en 53 heures.
Le schéma UOV fondamental subsiste, et une dérivée compacte appelée MAYO a accédé à la compétition additionnelle de signatures de second tour du NIST en octobre 2024.
La cryptographie à isogénies a subi un effondrement encore plus spectaculaire. SIKE, qui offrait les plus petites tailles de clés parmi tous les candidats PQC avec environ 330 octets, a été détruit en août 2022 lorsque Wouter Castryck et Thomas Decru de la KU Leuven ont publié une attaque classique de récupération de clés exploitant un théorème de 1997 du mathématicien Ernst Kani.
SIKEp434 est tombé en une heure sur un seul cœur CPU. La recherche se poursuit avec de nouveaux schémas comme SQISign et CSIDH, mais aucun algorithme à isogénies ne reste dans la compétition principale de normalisation du NIST.
À lire aussi : A $30M Pharma Company Just Bought $147M Of One Crypto Token
Le marathon de normalisation de huit ans du NIST
Le NIST a lancé son processus de normalisation de la cryptographie post-quantique en décembre 2016, en acceptant 69 propositions de candidats d’ici novembre 2017. Trois tours de cryptanalyse publique ont suivi, mettant au jour avec succès des failles fatales dans Rainbow et SIKE au passage.
Le processus a culminé le 13 août 2024 avec la publication des trois premières normes finalisées.
Le FIPS 203, basé sur Kyber, gère l’encapsulation de clés sous le nom ML-KEM. Le FIPS 204, basé sur Dilithium, couvre les signatures numériques sous le nom ML-DSA. Le FIPS 205, basé sur SPHINCS+, fournit une norme alternative de signatures à base de hachage appelée SLH-DSA.
Une quatrième norme, FIPS 206, basée sur l’algorithme FALCON, est entrée en phase de projet d’approbation en août 2025 et devrait être finalisée fin 2026 ou début 2027.
FALCON produit des signatures d’environ 666 octets — soit environ dix fois la taille d’ECDSA, contre 38 fois pour Dilithium. — en faisant le schéma de signature post-quantique le plus compact et le candidat le plus solide pour les applications blockchain.
Le responsable de projet du NIST, Dustin Moody, a exhorté les organisations à commencer la transition dès que possible.
Le cadre CNSA 2.0 de la NSA impose l’utilisation exclusive d’algorithmes post-quantiques pour la signature logicielle d’ici 2030 et pour l’infrastructure web d’ici 2033. Le NIST prévoit lui-même d’abandonner entièrement la cryptographie sur courbes elliptiques d’ici 2035. Le gouvernement américain estime le coût total de cette migration à environ 7,1 milliards de dollars.
À lire aussi : Polymarket Bans Insider Trading
BIP-360 de Bitcoin : un bouclier quantique avec des obstacles de gouvernance
La proposition de résistance quantique la plus significative pour Bitcoin est le BIP-360, co-rédigé par Hunter Beast de MARA, Ethan Heilman et Isabel Foxen Duke.
Introduit en juin 2024 et fusionné dans le dépôt BIP officiel début 2025, il crée un nouveau type de sortie appelé Pay-to-Merkle-Root, ou P2MR, en utilisant des sorties SegWit version 2 avec des adresses bc1z. P2MR supprime la dépense par chemin de clé, vulnérable au quantique, de Taproot, établissant une base modulaire pour de futurs soft forks qui ajouteraient des schémas de signatures PQC spécifiques comme ML-DSA ou SLH-DSA.
Le 20 mars 2026, BTQ Technologies a déployé la première implémentation fonctionnelle de BIP-360 sur son Bitcoin Quantum Testnet v0.3.0, avec des règles de consensus P2MR complètes, cinq opcodes de signatures post-quantiques Dilithium et des outils de portefeuille de bout en bout.
Le testnet a attiré plus de 50 mineurs et traité plus de 100 000 blocs.
Chaincode Labs a noté, dans une analyse de mai 2025, que les initiatives PQC de Bitcoin en sont encore à un stade précoce et exploratoire.
Le problème de la taille des signatures est considérable. Une transaction Bitcoin typique utilise environ 225 octets avec ECDSA. Remplacer la signature d’environ 72 octets par les 2 420 octets de Dilithium2, plus sa clé publique de 1 312 octets, ajoute environ 3 700 octets par entrée — soit environ 16 fois la taille actuelle totale de la transaction.
Les chercheurs prévoient une dégradation de débit de 52 à 57 % sur des testnets permissionnés et probablement de 60 à 70 % sur des réseaux sans permission, avec des frais multipliés par deux ou trois. Les signatures plus compactes de FALCON-512 réduiraient l’impact à environ sept fois par transaction, ce qui en fait le candidat le plus solide pour un déploiement sur blockchain.
La culture de gouvernance conservatrice de Bitcoin aggrave le défi. SegWit a nécessité environ 8,5 ans pour atteindre une adoption généralisée, et Taproot a pris 7,5 ans.
La proposition controversée QRAMP, qui fixerait une date limite après laquelle les pièces dans les anciens formats d’adresse deviendraient impossibles à dépenser, illustre le champ de mines de gouvernance à venir.
Pendant ce temps, environ 6,5 millions de BTC restent dans des adresses vulnérables au quantique, y compris les quelque 1,1 million de BTC estimés dans les adresses P2PK exposées de Satoshi.
À lire aussi : Larry Fink Says Tokenization Is Where The Internet Was In 1996
L’abstraction de compte d’Ethereum offre une voie plus fluide
Ethereum a avancé de manière décisive début 2026.
Le 23 janvier, la Fondation Ethereum a officiellement élevé la sécurité post-quantique au rang de priorité stratégique majeure, en créant une équipe PQ dédiée dirigée par l’ingénieur cryptographe Thomas Coratger.
Le chercheur senior Justin Drake a annoncé qu’après des années de recherche et développement discrets, la direction avait officiellement déclaré la sécurité PQ comme principale priorité stratégique de la Fondation, ajoutant que les calendriers s’accéléraient et qu’il était temps de passer en mode « full PQ ». La Fondation a soutenu cet effort avec 2 millions de dollars de financement répartis entre le Poseidon Prize et le Proximity Prize pour la recherche en PQC.
Vitalik Buterin a dévoilé une feuille de route complète de résistance quantique le 26 février 2026, ciblant quatre zones de vulnérabilité dans la pile Ethereum : les signatures BLS de la couche de consensus à remplacer par des signatures à base de hachage avec agrégation STARK, les engagements KZG à remplacer par des STARKs résistants au quantique, les signatures ECDSA des comptes externes à traiter via une abstraction de compte native, et les preuves à divulgation nulle de connaissance de la couche applicative à migrer de Groth16 vers des STARKs.
Le mécanisme clé est l’EIP‑8141, connu sous le nom de « Frame Transactions », co-rédigé par Buterin et d’autres. Il découple les comptes Ethereum des signatures ECDSA fixes, permettant à chaque compte de définir sa propre logique de validation — que cela signifie des signatures résistantes au quantique, du multisig ou une rotation de clés.
Contrairement à l’éventuelle nécessité de hard fork pour Bitcoin, l’EIP‑8141 réalise cela via une abstraction de compte native, offrant une voie de sortie de la cryptographie sur courbes elliptiques vers des systèmes sûrs post-quantiques sans imposer une migration immédiate à l’ensemble du réseau. La proposition est ciblée pour le hard fork Hegotá fin 2026.
À lire aussi : Strategy Opens $44B In New ATM Capacity
Algorand et QRL en tête des blockchains prêtes pour le quantique
Algorand (ALGO) a réalisé la première transaction post-quantique sur une blockchain publique en production le 3 novembre 2025, en utilisant des signatures FALCON‑1024 sélectionnées par le NIST sur le mainnet.
Fondée par le lauréat du prix Turing Silvio Micali, l’équipe d’Algorand comprend Chris Peikert, co-auteur du cadre GPV sous-jacent à FALCON, et Zhenfei Zhang, contributeur direct à la proposition FALCON du NIST. Les State Proofs de la chaîne utilisent des signatures FALCON depuis 2022, rendant l’historique complet de la blockchain résistant au quantique pour la vérification inter-chaînes.
Algorand démontre que 10 000 transactions par seconde avec des blocs de 2,8 secondes peuvent coexister avec des signatures post-quantiques.
QRL (Quantum Resistant Ledger), lancé en juin 2018, est résistant au quantique depuis son bloc de genèse grâce aux signatures XMSS à base de hachage.
Après sept ans de fonctionnement sans incident de sécurité, QRL 2.0 (Projet Zond) migre vers SPHINCS+ sans état et ajoute la compatibilité EVM.
Solana (SOL) a introduit un Winternitz Vault optionnel en janvier 2025, et la Fondation Solana s’est associée à Project Eleven en décembre 2025 pour ouvrir un testnet public remplaçant Ed25519 par Dilithium. IOTA s’est notablement éloigné de la résistance quantique en 2021, en passant des signatures Winternitz à Ed25519 pour des raisons de performance — une décision qui illustre la tension pratique entre préparation au quantique et exigences actuelles de débit.
À lire aussi : Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
« Collecter maintenant, déchiffrer plus tard » est réel — mais nuancé pour la blockchain
La stratégie « harvest now, decrypt later » — dans laquelle des adversaires collectent aujourd’hui des données chiffrées dans l’intention de les déchiffrer une fois que les ordinateurs quantiques seront suffisamment puissants — est une menace reconnue qui motive l’urgence au sein des gouvernements et des agences de renseignement. Rob Joyce, directeur de la cybersécurité à la NSA, a averti que la transition vers un chiffrement sûr face au quantique sera un effort long et intensif pour la communauté.
Chris Ware, de l’Initiative de sécurité quantique du Forum économique mondial, a identifié la Chine comme un État-nation en position de mener de telles attaques à grande échelle.
Pour la blockchain, toutefois, ce cadrage de « collecter maintenant » nécessite une nuance soigneuse. Comme Justin Thaler d’a16z crypto l’a soutenu dans une analyse de décembre 2025, la menace quantique pour les blockchains publiques est la falsification de signatures plutôt que le déchiffrement.
Le registre de Bitcoin est déjà public. Il n’y a pas de données chiffrées à collecter.
Le véritable danger est la dérivation directe de clé : une fois qu’un ordinateur quantique cryptographiquement pertinent existera, toute adresse dont la clé publique a été exposée on-chain deviendra immédiatement vulnérable, quel que soit le moment où cette exposition a eu lieu.
Le caractère permanent et immuable de la blockchain rend cette exposition irrévocable. Les cryptomonnaies axées sur la confidentialité comme Monero (XMR) et Zcash (ZEC), qui chiffrent les détails des transactions, font en revanche face au risque plus traditionnel de « collecter maintenant, déchiffrer plus tard ».
À lire aussi : Fed Hawkish Tone Triggers $405M Crypto Outflows
Le matériel quantique actuel est encore très loin de pouvoir casser la crypto
La puce Willow de Google, dévoilée en décembre 2024 avec 105 qubits, a réalisé la première démonstration de correction d’erreurs quantiques en dessous du seuil, réduisant exponentiellement les erreurs à mesure que davantage de qubits sont ajoutés au système. Elle a achevé en moins de cinq minutes un calcul de référence spécifique qui prendrait environ 10 à la puissance 25 années aux supercalculateurs classiques.
Pourtant, comme l’a noté Winfried Hensinger de l’Université du Sussex, la puce reste bien trop petite pour effectuer des calculs utiles du type nécessaire pour menacer les systèmes cryptographiques.
La feuille de route d’IBMtargets 200 qubits logiques d’ici 2029 avec son processeur Starling. Le circuit topologique Majorana 1 de Microsoft, dévoilé en février 2025, promet une correction d’erreurs radicalement plus efficace grâce à une nouvelle architecture de qubits.
Mais même les projections les plus optimistes situent ces étapes bien en deçà des millions de qubits physiques nécessaires pour exécuter l’algorithme de Shor contre ECDSA à grande échelle.
Un article de mai 2025 de Craig Gidney de Google a compressed les besoins estimés en ressources pour factoriser RSA‑2048 de 20 millions à moins de 1 million de qubits bruyants — une réduction par un facteur vingt qui a considérablement affiné les estimations de calendrier. Metaculus, la plateforme de prédiction, a déplacé sa prévision de 2052 à 2034 pour la date à laquelle l’algorithme de Shor pourrait factoriser RSA à une échelle pratique.
Le concept de « Q‑Day » — le moment où un ordinateur quantique brise avec succès la cryptographie à clé publique actuelle — reste une cible mouvante. Le théorème du mathématicien Michele Mosca captures l’urgence de manière simple : si le temps nécessaire à la migration plus la durée de vie de vos données dépasse le temps restant avant le Q‑Day, il est déjà trop tard.
Also Read: What Will It Take For Solana To Reclaim $90?
Closing Thoughts
Les algorithmes post‑quantiques fonctionnent. Les normes du NIST sont publiées, FALCON offre des tailles de signature pratiques pour un déploiement sur blockchain, et Algorand a prouvé des transactions PQC à grande échelle sur un réseau en production. Le problème difficile n’est pas cryptographique mais social et structurel : la gouvernance décentralisée de Bitcoin rend les changements rapides de protocole extraordinairement difficiles, des signatures de 10 à 38 fois plus grandes que l’ECDSA vont réduire le débit et augmenter les frais, et les quelque 6,5 millions de BTC dans des adresses vulnérables au quantique créent un défi de coordination sans précédent.
La fenêtre d’action est définie non pas par le moment où des ordinateurs quantiques pertinents pour la cryptographie arriveront, mais par la durée de la migration elle‑même.
Étant donné que les mises à niveau de Bitcoin ont historiquement nécessité sept à huit ans et que les mandats gouvernementaux visent 2030 à 2035, le calendrier de l’industrie des cryptomonnaies pour la préparation quantique est déjà inconfortablement serré. Les projets qui commencent à migrer maintenant seront en sécurité lorsque le Q‑Day arrivera. Ceux qui attendent ne le seront pas.
Read Next: Resolv USR Crashes 72% After $25M Exploit