Supposons, à l'aube d'un jour de 203X, que des alarmes de surveillance de la chaîne déchirent soudainement le calme : des adresses BTC dormantes depuis plus de dix ans commencent à transférer leurs actifs comme des fantômes. Aucun piratage, aucune fuite de clé privée, seulement des signatures « légitimes » générées de nulle part. Alors que les UTXO dormants à haute valeur sont vidés les uns après les autres, le marché se réveille enfin en sursaut : une entité disposant d'une puissance de calcul quantique inconnue peut désormais déduire les clés privées directement à partir des clés publiques historiquement exposées. La panique transperce instantanément le marché. Dans les profondeurs du dark web, des bibliothèques de clés publiques accumulées pendant dix ans sur le principe « récolter d'abord, décrypter plus tard » sont mises aux enchères de façon frénétique, attendant que la puissance de calcul transforme cette richesse en liquide.
La communauté Bitcoin, quant à elle, sombre dans une fracture de foi sans précédent : face aux pièces dormantes pillées par le calcul quantique, faut-il s'en tenir coûte que coûte au principe intangible du « code est loi » de l'immuabilité, ou procéder à un soft fork pour geler de force les actifs hérités ? La collision entre le récit de la propriété et la loi de la survie fait exploser un nœud mort de gouvernance. Ce jour-là, les blocs continuent d'être produits dans l'ordre, le réseau ne s'arrête pas une seule seconde. Le calcul quantique n'est pas une magie apocalyptique qui efface tout, mais il plonge tout l'écosystème Web 3 dans un long jeu entre la reconstruction cryptographique et l'abîme du consensus.
Le calcul quantique est souvent interprété comme l'« épée de Damoclès » apocalyptique suspendue au-dessus de la blockchain. En réexaminant la plus grande « dette de sécurité » que le monde Web 3 est sur le point d'affronter, nous découvrons que la menace quantique, dans son impact sur la blockchain, est essentiellement un test de résistance extrême de sa triple architecture sous-jacente : « registre public, actifs irréversibles, autogestion des clés privées ». Alors que l'aube de l'ordinateur quantique tolérant aux fautes (CRQC) pointe, l'industrie est confrontée au défi de traverser, dans la fenêtre « confortable » de 5 à 8 ans qui reste avant l'arrivée du Q-Day, des processus de consensus social et des jeux de gouvernance extrêmement complexes.
Informatique quantique : principes technologiques, valeur et menace
L'informatique quantique est un nouveau paradigme de calcul basé sur les principes de la mécanique quantique. Elle utilise le qubit (bit quantique) comme support d'information, brisant la limitation binaire des bits classiques qui ne peuvent représenter que 0 ou 1, et utilise des propriétés quantiques comme la superposition, l'intrication, l'interférence et la mesure pour atteindre une efficacité de calcul difficile à atteindre par le calcul classique :
· État de superposition (Superposition) — Extension de l'espace des états : un qubit peut être dans une combinaison linéaire de 0 et 1.
· Intrication quantique (Entanglement) — Établissement de corrélations globales : corrélation forte non locale formée entre plusieurs qubits.
· Interférence quantique (Interference) — Contrôle de l'amplitude de probabilité : mécanisme essentiel de l'accélération des algorithmes quantiques, permettant aux amplitudes de probabilité des mauvaises réponses de s'annuler mutuellement (interférence destructive), tout en amplifiant celle de la bonne réponse (interférence constructive).
· Mesure quantique (Measurement) — Réduction de l'état quantique à un résultat classique. Le cœur d'un algorithme quantique n'est pas de « lire toutes les réponses », mais de faire en sorte que la bonne réponse ait une probabilité beaucoup plus élevée d'apparaître lors de la mesure.

Figure 1 : Les quatre piliers de l'informatique quantique
(1) La superposition étend l'espace des états — Le qubit existe sur la sphère de Bloch sous forme d'un mélange continu de |0⟩ et |1⟩.
(2) L'intrication crée des corrélations non locales ; mesurer un qubit détermine instantanément l'état de son partenaire.
(3) L'interférence est le moteur de l'accélération : les amplitudes des mauvaises réponses s'annulent, celles de la bonne réponse se renforcent.
(4) La mesure réduit l'état quantique à un seul résultat classique — La tâche de l'algorithme est de faire en sorte que le bon résultat apparaisse avec une probabilité écrasante.
Les deux algorithmes centraux du calcul quantique : l'« abattage dimensionnel » de Shor et l'« accélérateur de force brute » de Grover
· Algorithme de Shor (1994) : l'« abattage dimensionnel » de la cryptographie à clé publique : L'algorithme de Shor peut utiliser les propriétés quantiques pour « voir à travers » les régularités mathématiques de la factorisation des grands entiers et du logarithme discret, détruisant ainsi complètement les fondements de confiance de l'internet moderne et des blockchains comme RSA et les courbes elliptiques (ECC) ; mais, limité par les coûts de correction d'erreurs quantiques en situation réelle, le craquage des principaux schémas cryptographiques nécessiterait encore des millions de qubits physiques, un seuil qui pourrait être significativement abaissé avec des optimisations algorithmiques plus agressives.
· Algorithme de Grover (1996) : « l'accélérateur de force brute » de la cryptographie symétrique : L'algorithme de Grover ne peut pas casser directement la structure cryptographique, mais il fait grimper de façon quadratique la vitesse à laquelle un ordinateur peut « deviner » un mot de passe (par exemple, en réduisant directement la résistance d'un cryptage 128 bits à l'équivalent de 64 bits) ; sa menace est bien moins mortelle que celle de Shor, et la parade est simple et brutale — on peut généralement restaurer la marge de sécurité en utilisant des clés plus longues, des sorties de hachage plus longues ou des paramètres de sécurité plus élevés (comme passer à AES-256 ou SHA-512).

Figure 2 : Les deux algorithmes centraux du calcul quantique : l'algorithme de Shor et l'algorithme de Grover
La voie de commercialisation du calcul quantique : « la course entre plusieurs héros » de cinq camps technologiques
Aucune technologie de qubit n'a établi une avance technique claire. Cinq voies sont actuellement poussées pour la commercialisation, chacune ayant ses avantages et inconvénients.

Valeur positive et menace négative du calcul quantique
La valeur centrale du calcul quantique réside dans sa capacité à repousser les limites du calcul classique pour des problèmes complexes spécifiques, entraînant un saut paradigmatique dans les sciences fondamentales et le domaine de l'ingénierie. Sa valeur positive se concentre principalement sur deux grands axes : premièrement, la simulation de systèmes quantiques complexes, incluant la chimie quantique, le développement de médicaments, les nouveaux matériaux et les technologies énergétiques ; deuxièmement, la résolution de problèmes d'optimisation à haute complexité, incluant la logistique, la finance, la chaîne d'approvisionnement, la conception de puces et la planification industrielle. Parmi ceux-ci, la simulation quantique est généralement considérée comme le scénario d'application à long terme le plus certain, l'optimisation complexe restant dans une phase d'exploration et de validation. Actuellement, le calcul quantique est à un stade clé, passant du prototype de laboratoire aux applications industrielles. La décohérence, le bruit physique, le coût de la correction d'erreurs et l'extensibilité du système restent les principaux obstacles à franchir pour traverser le fossé de l'industrialisation.
La menace quantique, quant à elle, vise de manière essentielle les fondements des systèmes de cryptographie à clé publique moderne, et se diffuse couche par couche selon la logique « durée de vie des données × difficulté de migration × bénéfice de l'attaque » : la sécurité nationale, les systèmes militaires et de renseignement sont en première ligne, face au risque stratégique de « collecter maintenant, décrypter plus tard » (HNDL) ; les infrastructures financières et de paiement, dépendant profondément de TLS, des HSM et des systèmes d'authentification d'identité, seront les premières à entrer dans une migration conforme ; la racine de confiance d'Internet et l'écosystème blockchain/Web 3 font face à des risques systémiques multiples : signature de code, gestion des clés dans le cloud (KMS), irréversibilité des actifs en chaîne et migration de gouvernance ; enfin, les domaines de la santé, de l'énergie, des systèmes de contrôle industriel et de l'IoT, en raison de la longue durée de vie des appareils et d'une fenêtre de mise à niveau étroite, constitueront un risque résiduel à long terme et difficile à éliminer.

Fenêtre temporelle et règles de planification : Q-Day et l'inégalité de Mosca
Q-Day désigne le point dans le temps où un ordinateur quantique acquiert pour la première fois la capacité pratique de casser les principaux schémas cryptographiques à clé publique. Ce n'est pas une date fixe, mais un intervalle de probabilité influencé par les progrès matériels, les capacités de correction d'erreurs, l'optimisation des algorithmes et la confidentialité des projets nationaux. Les prévisions actuelles se concentrent grosso modo sur 2035–2045, un scénario rapide pouvant l'avancer à 2030–2035, avant 2030 relevant d'un risque résiduel à faible probabilité.
L'inégalité de Mosca X + Y > Z explique pourquoi, même si le Q-Day n'est pas imminent, la migration post-quantique présente une urgence réelle. Ici, X est le temps pendant lequel les données doivent rester secrètes, Y est le temps nécessaire pour achever la migration cryptographique, et Z est le temps restant avant le Q-Day. Dès que la somme de la durée de vie des données et du cycle de migration dépasse le temps restant avant l'arrivée du Q-Day, le système entre déjà dans une zone de décalage de migration : les données collectées aujourd'hui pourraient être décryptées par le calcul quantique dans le futur. Par conséquent, la sécurité post-quantique n'est pas un projet d'urgence pour après l'arrivée du Q-Day, mais une migration d'infrastructure à long terme qui doit être lancée à l'avance.

Figure 3 : Distribution des prévisions d'experts pour le Q-Day en 2026. Chaque barre montre la fenêtre raisonnable d'une source unique ; le point marque l'estimation centrale.
Le code couleur représente la catégorie de déclaration : rouge = industrie agressive ; orange = enquête de référence/consensus ; bleu = feuille de route matérielle ; vert = sceptiques.
Cryptographie post-quantique (PQC) : panorama des voies techniques, de la standardisation et de la migration industrielle
La cryptographie post-quantique (Post-Quantum Cryptography, PQC), aussi appelée cryptographie résistante au quantique ou cryptographie quantique-sécurisée, est un nouveau système d'algorithmes cryptographiques conçu pour résister aux attaques des futurs ordinateurs quantiques. Sa caractéristique centrale est qu'elle fonctionne toujours sur l'architecture de calcul classique actuelle, mais sa sécurité est basée sur des problèmes mathématiques difficiles à résoudre efficacement même pour un ordinateur quantique. La PQC est devenue la voie principale la plus réaliste et ayant le plus grand potentiel de déploiement à grande échelle pour la migration quantique-sécurisée des infrastructures numériques mondiales.
Voies techniques principales : la dualité entre la cryptographie sur réseaux et les signatures basées sur le hachage
La recherche et l'implémentation actuelles de la PQC se concentrent principalement sur les camps mathématiques suivants :
· Cryptographie basée sur les réseaux (Lattice-based) : Sa sécurité repose sur des problèmes de réseaux en haute dimension (comme Module-LWE), combinant efficacité et sécurité. C'est la direction centrale de la standardisation et de l'implémentation technique actuelle, représentée par les algorithmes ML-KEM et ML-DSA.
· Signatures basées sur le hachage (Hash-based) : Elles ne dépendent que de la propriété de résistance aux collisions des fonctions de hachage, leurs hypothèses mathématiques sont minimales et extrêmement conservatrices. La norme représentative est SLH-DSA.
· Autres voies : La cryptographie basée sur les codes (HQC) a été choisie par le NIST en mars 2025 comme cinquième algorithme PQC, servant de sauvegarde non basée sur les réseaux pour ML-KEM. Un projet de norme est attendu pour 2026, la norme officielle pour 2027. La cryptographie multivariée (Multivariate) et basée sur les isogénies (Isogeny-based), en raison de problèmes de sécurité ou d'efficacité, ne sont pas encore entrées dans la première vague de standardisation du NIST, la voie des isogénies ayant subi un revers important avec le craquage de l'algorithme SIKE.
Jalon de standardisation : le NIST établit la structure « un mécanisme d'encapsulation, deux signatures »
Le processus de standardisation FIPS dirigé par le National Institute of Standards and Technology (NIST) américain est un tournant clé pour faire passer la PQC de la théorie à l'application. En août 2024, le NIST a officiellement publié trois normes fondamentales, établissant la répartition des tâches de base pour la migration PQC :
· FIPS 203 (ML-KEM) : Mécanisme d'encapsulation de clés (KEM) basé sur les problèmes de réseaux, responsable de l'échange de clés.
· FIPS 204 (ML-DSA) : Algorithme de signature numérique basé sur la cryptographie sur réseaux, responsable des signatures numériques générales.
· FIPS 205 (SLH-DSA) : Algorithme de signature numérique basé sur le hachage sans état (stateless), comme solution alternative pour les signatures de haut niveau de sécurité.
Écosystème d'implémentation industrielle : une architecture à trois couches – principale, de transition et auxiliaire
Outre les algorithmes centraux, la construction d'un système de sécurité post-quantique repose également sur des stratégies d'ingénierie à plusieurs niveaux :
· Déploiement hybride (Hybrid) : Adoption d'un mode de signature/chiffrement parallèle « algorithme traditionnel (comme ECC/RSA) + PQC », comme mesure de couverture de risque en début de migration, garantissant que même si le nouvel algorithme présente des vulnérabilités inconnues, l'algorithme traditionnel assure une sécurité minimale.
· Agilité cryptographique (Crypto-agility) : Conception d'une architecture permettant au système de remplacer, mettre à niveau ou revenir rapidement à un algorithme, pour faire face aux risques futurs de craquage d'algorithmes.
· Technologies auxiliaires d'amélioration : Incluent la distribution de clés quantiques (QKD) (applicable aux réseaux dédiés gouvernementaux/militaires, mais ne peut remplacer la vérification de signature sur Internet), la génération de nombres aléatoires quantiques (QRNG) ainsi que les modules de sécurité matérielle (HSM/Secure Enclave), utilisés pour améliorer la qualité de l'aléatoire et la sécurité du stockage des clés.

Figure 4 : Panorama des voies de résistance quantique
Risque quantique et pratiques quantique-sécurisées dans l'industrie blockchain
La blockchain n'est pas la première cible de la menace quantique, mais c'est le scénario de « test de résistance » le plus intéressant à étudier. Comparé au Web 2 traditionnel qui repose sur des mécanismes centralisés (comme la rotation de certificats, le gel de comptes) pour atténuer le risque de fuite de données, la blockchain transforme directement et instantanément une crise de cryptographie fondamentale en perte d'actifs et blocage de gouvernance. La « triple irréversibilité » au cœur de son architecture — registre permanent public, transfert d'actifs irréversible et autogestion des clés privées — signifie que les actifs dont la clé publique a été exposée peuvent faire face à la récupération de clés privées et à la falsification de signatures, sans aucune marge de manœuvre centralisée. Plus grave encore, les systèmes de signatures à courbes elliptiques et BLS, dont dépendent fortement les principales blockchains publiques, sont structurellement vulnérables face à l'algorithme de Shor. Une fois l'ordinateur quantique tolérant aux fautes (CRQC) disponible, un attaquant pourra déduire les clés privées à partir des clés publiques exposées sur la chaîne et forger des signatures, ébranlant fondamentalement la pierre angulaire de confiance de la blockchain.

Carte des menaces sur les composants cryptographiques d'un système blockchain
Pour l'industrie blockchain, la proposition centrale n'est pas de faire face à des pirates immédiats, mais de lancer un « compte à rebours de migration » en course contre la montre. L'informatique quantique ne détruira pas la blockchain instantanément, mais elle forcera l'industrie à traverser une reconstruction de sa cryptographie de base plus difficile que pour le Web 2. Le vrai risque ne réside pas dans l'absence d'algorithmes post-quantiques standardisés, mais dans la capacité de l'ensemble de l'écosystème à accomplir, avant le Q-Day (point critique temporel où l'ordinateur quantique tolérant aux fautes acquiert une capacité pratique de craquage), une migration coordonnée de bout en bout, du protocole de base aux actifs existants.
Dans ce processus, la menace quantique ne s'abat pas de manière uniforme, mais se propage couche par couche le long de l'architecture à cinq niveaux : « actifs, protocole, infrastructure, applications, gouvernance ». L'idée centrale la plus importante est que la couche d'infrastructure à haute valeur (comme les plateformes d'échange, les dépositaires, les ponts inter-chaînes) subira la pression avant le protocole principal de couche 1 (L1). Et le goulot d'étranglement final qui déterminera le succès ou l'échec de cette migration de bout en bout n'est pas le remplacement de la technologie cryptographique, mais les jeux de consensus social et de gouvernance extrêmement complexes.

Pratiques quantique-sécurisées de Bitcoin et Ethereum
Risque quantique de Bitcoin : exposition des clés publiques, inflation des signatures et frictions de gouvernance
Le risque quantique de Bitcoin n'est pas réparti uniformément sur tous les BTC, mais dépend fortement de la question de savoir si la clé publique a déjà été exposée sur la chaîne. Le véritable risque élevé ne concerne pas tous les UTXO du réseau, mais se concentre sur les sorties héritées précoces, les adresses dont la clé publique a été exposée et qui ont encore un solde, ainsi que les UTXO dormants de haute valeur à long terme. Les composants de hachage de Bitcoin (SHA-256, SHA-256d et RIPEMD-160) sont principalement confrontés à une réduction de la marge de sécurité due à l'algorithme de Grover, et non à un effondrement structurel face à l'algorithme de Shor comme c'est le cas pour ECDSA/Schnorr.
· Risque élevé : UTXO dont la clé publique a été exposée statiquement : Sorties P2PK, Taproot (P2TR) précoces, ainsi que les adresses P2PKH/P2WPKH déjà dépensées et réutilisées, mais conservant encore un solde. Leur clé publique complète est déjà gravée sur la chaîne, elles seront les premières directement percées par l'algorithme de Shor dès l'apparition du CRQC.
· Risque moyen : UTXO dont la clé publique n'est pas encore exposée mais le sera à l'avenir : Adresses P2PKH/P2WPKH non dépensées et non réutilisées. Seul le hachage de la clé publique est exposé sur la chaîne, le risque n'existe que pendant la brève « fenêtre de devancement quantique » entre la diffusion d'une transaction et sa confirmation.
· Risque faible : Actifs déjà migrés vers des adresses quantique-sécurisées : Actifs qui auront migré dans le futur via un soft fork vers des adresses résistantes au quantique (PQ), leur risque sera significativement réduit, mais cela dépend fortement d'une mise à niveau coordonnée à long terme de tout l'écosystème.
Défis techniques : inflation des signatures et voie « soft fork prioritaire »
Dans la structure de gouvernance de Bitcoin, le coût politique d'un hard fork ponctuel pour abandonner ECDSA/Schnorr est extrêmement élevé. L'introduction, via un soft fork, de nouveaux types de sortie quantique-sécurisés est l'une des voies progressives plus réalistes. Les discussions actuelles incluent des directions de brouillons comme BIP-360/P2MR (Pay-to-Merkle-Root), mais la distance jusqu'à un consensus et une activation sur l'ensemble du réseau reste grande.
Cela nécessite de payer une lourde « taxe technique » : les signatures ECDSA/Schnorr actuelles ne font qu'environ 64–72 octets, tandis que les candidates ML-DSA (2,4–4,6 Ko) et SLH-DSA (7–49 Ko) voient leur volume exploser de plusieurs dizaines de fois. Une inflation de cet ordre de grandeur déclenchera une réaction en chaîne systémique : augmentation directe du poids des blocs et des frais de transaction, aggravation de la charge de stockage et de bande passante des nœuds, détérioration significative de l'ensemble UTXO et de l'expérience utilisateur des portefeuilles, formant finalement une boucle de rétroaction négative qui augmentera la résistance à la migration quantique-sécurisée sur l'ensemble du réseau.
Plus important encore, Bitcoin manque de capacité de changement rapide d'algorithme. Contrairement à un système centralisé où une seule entité peut mettre à niveau des certificats ou remplacer un algorithme, Bitcoin nécessite une adaptation synchrone des règles de consensus, des formats d'adresse, des portefeuilles, des pools miniers, des plateformes d'échange, des dépositaires et des portefeuilles matériels. Par conséquent, la migration quantique-sécurisée n'est pas une mise à niveau technique ponctuelle, mais un projet technique de coordination à long terme impliquant tout l'écosystème.
Jeux de gouvernance : le « dilemme de valeurs » des UTXO hérités
Même si des adresses PQ sont déployées avec succès, le traitement des UTXO hérités à long terme qui ne migrent pas, y compris les BTC dormants précoces souvent considérés par le marché comme appartenant à l'ère de Satoshi, reste un défi ultime. Deux solutions extrêmes entrent en conflit avec les valeurs fondamentales de Bitcoin :
· Ne rien faire : les pièces héritées deviendront le « déjeuner gratuit » du premier attaquant disposant d'un CRQC, déclenchant la panique sur le marché.
· Gel/invalidation forcé : viole directement le principe de propriété « Pas tes clés, pas tes pièces » et le récit de l'immuabilité, risque de diviser profondément le consensus communautaire, voire de provoquer un fork de la chaîne.
Une voie de compromis pragmatique consiste à mettre en œuvre un mécanisme de « coucher de soleil des héritages » (Legacy Sunset) sur plusieurs années : publier des avertissements d'abandon à long terme, augmenter progressivement les frictions de politique de relais pour dépenser les anciennes sorties, et finalement, après coordination multipartite, imposer des contraintes via un soft fork. Les discussions comme BIP-361 sur le legacy signature sunset explorent essentiellement cette voie.
Ainsi, la migration de Bitcoin n'est pas fondamentalement un problème cryptographique. Les algorithmes PQ existent déjà et peuvent être intégrés ; le véritable goulot d'étranglement réside dans le consensus social autour de questions comme l'immuabilité, la propriété et la légitimité de « déclarer des actifs comme non quantique-sécurisés ». En d'autres termes, le risque quantique de Bitcoin n'est pas un scénario apocalyptique où tout devient soudainement nul un jour donné, mais un processus progressif allant de la faisabilité théorique, au coût économique élevé, jusqu'à l'exécution pratique ; ce dont l'industrie a vraiment besoin, c'est de terminer la coordination de la migration avant que l'aspect économique de l'attaque ne devienne viable.

Figure 5 : Migration quantique-sécurisée de Bitcoin : un processus de gouvernance de long terme
Migration quantique-sécurisée d'Ethereum — refonte full-stack et feuille de route « Lean »
Ethereum fait face activement à la menace quantique. L'équipe Post-Quantum de l'Ethereum Foundation (EF) mène les recherches, progressant régulièrement via des processus de gouvernance ouverts comme les All Core Devs. Sa stratégie centrale n'est pas de « miser une fois pour toutes sur un seul algorithme PQ », mais d'améliorer globalement l'agilité cryptographique (Cryptographic Agility) du réseau — s'assurer que l'authentification des comptes, la signature de consensus, les systèmes de preuve et l'engagement de la couche de données possèdent la capacité à long terme d'être remplacés, mis à niveau et vérifiés.
Le risque quantique d'Ethereum se concentre fortement sur quatre composants cryptographiques : les comptes EOA (ECDSA/secp256k1), le consensus des validateurs (signature BLS), la disponibilité des données (engagement KZG) et certains systèmes de preuve ZK. Pour cela, l'EF a conçu une feuille de route « Lean » avancant en parallèle sur trois voies : exécution, consensus et données.
· Couche d'exécution (comptes utilisateurs) : Tampon AA et terrain d'essai L2
Face à la masse de comptes EOA, un hard fork direct est très résistant. Ethereum s'appuie sur l'abstraction de comptes (comme ERC-4337 et EIP-7702) pour donner aux portefeuilles à contrat intelligent une « agilité de signature », permettant des signatures hybrides et une migration progressive, évitant une coordination forcée sur l'ensemble du réseau. Parallèlement, les L2, grâce à leur gouvernance flexible, deviennent un terrain d'essai naturel pour le déploiement PQ.
· Couche de consensus (signatures des validateurs) : « combinaison » de leanXMSS et leanVM
Vise à remplacer complètement la signature BLS qui dépend de l'appariement de courbes elliptiques. La stratégie centrale consiste à utiliser leanXMSS basé sur le hachage, combiné à un zkVM minimal (leanVM) pour l'agrégation SNARK. Percée technique clé : leanVM devrait pouvoir compresser les volumineuses données de signature par hachage d'environ 250 fois, compensant l'inflation du volume des signatures PQ, tout en conservant l'avantage d'extensibilité de la « fusion multi-signatures » en entrant dans l'ère post-quantique.
· Couche de données (Blobs, DA et KZG) : refonte à long terme des engagements fondamentaux
Dans des conditions de CRQC, les hypothèses de sécurité sous-jacentes de KZG doivent encore être réévaluées, et une migration à long terme vers des systèmes d'engagement ou de preuve plus PQ-friendly est nécessaire. Sa direction finale évolue vers des engagements basés sur le hachage STARK ou des schémas basés sur les réseaux. Il s'agit d'une refonte fondamentale au niveau du protocole sur plusieurs années, et non d'une défaillance immédiate à court terme.
De plus, le risque quantique d'Ethereum n'est pas réparti uniformément. Les EOA constituent le plus grand bassin de valeur ; les clés opérationnelles à haute valeur — comme celles des plateformes d'échange, des ponts, des portefeuilles chauds de dépositaires, les clés de gouvernance/mise à niveau, les séquenceurs L2 et les clés d'administration — subiront probablement la pression avant le protocole lui-même. Dans l'ensemble, la migration quantique-sécurisée d'Ethereum n'est pas un remplacement ponctuel de signature, mais un projet technique full-stack sur plusieurs années impliquant conjointement les comptes, le consensus, la DA, les ZK, les L2, les ponts, la garde d'actifs et la vérification formelle.

Figure 6 : Migration post-quantique d'Ethereum : Exécution (comptes utilisateurs), Consensus (signatures des validateurs) et Données (engagements et preuves).

Comparaison panoramique des profils de migration post-quantique de Bitcoin et Ethereum
Théoriquement, toutes les blockchains publiques dépendant de la cryptographie à clé publique traditionnelle sont confrontées au risque quantique. Mais les seules qui posent véritablement la question systémique de la migration quantique-sécurisée restent principalement Bitcoin et Ethereum : la première implique des UTXO hérités, l'immuabilité et la gouvernance des droits de propriété ; la seconde implique une refonte full-stack des comptes, du consensus, de la DA, des ZK et des L2. Les autres blockchains publiques sont mieux adaptées comme référence complémentaire pour les voies techniques et les scénarios de risque.
· Solana représente l'exploration technique des coûts de vérification de signatures PQ pour une chaîne à haut débit. Sa communauté a déjà discuté d'un syscall de vérification pour Falcon-512/FN-DSA, mais cette solution reste exploratoire et complémentaire, ne remplaçant pas l'Ed25519 actuel, et ne représente pas non plus une feuille de route de migration officielle établie par Solana.
· Starknet/STARK représente la voie ZK plus PQ-friendly des systèmes de preuve basés sur le hachage. Comparé aux systèmes SNARK dépendant des appariements (pairing)/KZG, le mécanisme de preuve sous-jacent de STARK est plus adapté comme direction ZK post-quantique. Mais cela ne signifie pas que tout le réseau Starknet est déjà quantique-sécurisé ; la signature des portefeuilles, les paramètres de hachage, les mécanismes de pontage et le règlement (settlement) sur Ethereum L1 nécessitent toujours une migration simultanée.
· Les blockchains PQ natives ou quasi-natives comme QRL, Quantus, Abelian fournissent une référence technique pour une conception post-quantique « sur table rase » : QRL représente la première voie de signature basée sur le hachage, Quantus représente la nouvelle narration PQC du NIST pour une L1 PQ native, Abelian est plutôt orientée vers une L1 préservant la confidentialité basée sur les réseaux. Elles offrent une voie viable pour « construire une blockchain quantique-sécurisée dès le premier jour », mais leur effet de réseau, leur liquidité et leur écosystème d'applications restent bien inférieurs à ceux de BTC/ETH, les rendant plus appropriées comme échantillons techniques.
Conclusion : Échéance de la dette de sécurité et compte à rebours du « Q-Day » pour tout l'écosystème
Le calcul quantique n'est pas une « arme apocalyptique » mettant fin à la blockchain, mais une réinitialisation systémique de l'architecture de cryptographie à clé publique moderne. La menace centrale réside dans le futur ordinateur quantique tolérant aux fautes à grande échelle (CRQC) ayant une capacité stratégique de craquage. Le risque réel pour l'industrie ne réside pas dans l'absence d'algorithmes post-quantiques (PQC), mais dans la capacité de l'ensemble de l'écosystème Web 3 à accomplir une migration coordonnée de bout en bout avant le Q-Day (point critique de craquage quantique). À court et moyen terme, le risque de défaillance des systèmes de signature existants et le coût élevé d'une mise à niveau full-stack constituent une lourde « dette de sécurité ». À long terme, la pression de survie se transformera en catalyseur industriel, donnant directement naissance à de nouveaux segments d'infrastructure de sécurité : portefeuilles hybrides PQ, garde d'actifs institutionnelle quantique-sécurisée, radar des risques quantiques, agrégation de signatures PQ, etc.
Bien que la période de préparation macroéconomique puisse durer 5 à 15 ans, la véritable « fenêtre confortable d'ingénierie » ne dépasse pas 5 à 8 ans. Cela nécessite une coordination étroite de toute la chaîne (des propositions BIP/EIP, l'implémentation des nœuds, l'adaptation des portefeuilles jusqu'à la mise à niveau conforme des plateformes d'échange et des dépositaires). Plus important encore, la revalorisation par le marché pourrait précéder le Q-Day lui-même : dès que les estimations des ressources quantiques continuent de baisser, que les feuilles de route matérielles avancent significativement, ou que les régulateurs et les grands dépositaires commencent à exiger la conformité PQC, le marché pourrait commencer à réexaminer le modèle de sécurité cryptographique des actifs blockchain. Dans cette fenêtre, les deux écosystèmes fondamentaux seront confrontés à des épreuves ultimes très différentes :
· Bitcoin : Le défi central n'est pas cryptographique, mais celui du consensus social mondial et de la gouvernance des droits de propriété. Comment traiter les UTXO hérités dormants à long terme dont la clé publique a été exposée, est un jeu politique touchant au fondement du récit de l'« immuabilité ».
· Ethereum : Le défi central réside dans la complexité technique des protocoles multicouches et de l'écosystème full-stack. Comment remplacer la cryptographie au niveau des comptes, du consensus, de la DA et des ZK sans paralyser le réseau, tout en compensant l'inflation du volume des signatures.
Dans la configuration d'actifs à long terme, les frictions de gouvernance post-quantique constituent un « risque résiduel structurel » pour le BTC, mais ce n'est absolument pas une raison de pessimisme immédiat. Sa gouvernance extrêmement conservatrice « difficile à changer » présente un effet à double tranchant : c'est à la fois la plus grande résistance à la migration quantique-sécurisée, et la principale barrière protégeant son récit de réserve de valeur et résistant aux interventions centralisées. Cela exige des investisseurs qu'ils abandonnent la croyance statique que « le BTC n'a jamais besoin de mise à niveau majeure ». À l'avenir, si l'un des scénarios suivants se produisait : l'échéancier du Q-Day est substantiellement avancé, la communauté refuse d'avancer la migration PQ alors que l'écosystème périphérique a déjà agi, les UTXO à clé publique exposée à haute valeur déclenchent des ventes paniques, ou le traitement des actifs hérités s'enlise dans une division totale, le marché réévaluera le modèle de sécurité et le consensus fondamental du BTC.





