Auteur|0xjacobzhao @ IOSG
Imaginons, au petit matin d'une journée en 203X, que les alarmes de surveillance de la blockchain déchirent soudain le calme : des adresses BTC anciennes, dormantes depuis plus de dix ans, commencent à transférer leurs actifs comme des fantômes. Pas de piratage, pas de fuite de clé privée, uniquement des signatures "légitimes" générées de nulle part. Alors que les UTXO dormants à haute valeur sont vidés les uns après les autres, le marché se réveille enfin : une entité disposant d'une puissance de calcul quantique inconnue peut désormais déduire directement les clés privées à partir des clés publiques historiquement exposées. La panique traverse instantanément le marché. Dans les profondeurs du dark web, des bases de données de clés publiques accumulées pendant dix ans pour une stratégie de "récolte puis décryptage" sont mises aux enchères frénétiquement, attendant que la puissance de calcul monnaye la richesse. Et la communauté Bitcoin sombre dans une crise de confiance sans précédent : face aux cryptomonnaies dormantes pillées par la puissance quantique, faut-il s'en tenir coûte que coûte au dogme du "code fait loi" et de l'immuabilité, ou procéder à un soft fork pour geler de force ces actifs hérités ? La collision entre le récit de la propriété et l'impératif de survie fait exploser l'impasse de la gouvernance. Ce jour-là, les blocs continuent d'être produits dans l'ordre, le réseau ne s'arrête pas une seconde, l'informatique quantique ne lance pas un sort d'apocalypse qui efface tout, mais elle plonge l'écosystème Web3 tout entier dans un jeu complexe et prolongé de reconstruction cryptographique et de dilemmes de consensus.
L'informatique quantique est souvent perçue comme l'épée de Damoclès de l'apocalypse suspendue au-dessus de la blockchain. Il est temps de réévaluer la plus importante "dette de sécurité" à laquelle le monde Web3 va devoir faire face. Nous constatons que la menace quantique, dans son impact sur la blockchain, est en substance un test de résistance ultime de son architecture fondamentale reposant sur trois piliers : "registre public, actifs irréversibles, autogestion des clés privées". Alors que l'aube de l'ordinateur quantique tolérant aux fautes (CRQC) se lève, l'industrie est confrontée au défi de franchir le gouffre des complexes jeux de consensus social et de gouvernance avant l'arrivée du Q-Day, disposant pour cela d'une "fenêtre de confort technique" d'à peine 5 à 8 ans.
L'informatique quantique : principes techniques, valeur et menace
L'informatique quantique est un nouveau paradigme de calcul basé sur les principes de la mécanique quantique. Elle utilise le qubit (bit quantique) comme vecteur d'information, dépassant la limitation binaire du bit classique (0 ou 1), et exploite des propriétés quantiques comme la superposition, l'intrication, l'interférence et la mesure pour atteindre une efficacité de calcul inaccessible au calcul classique :
-
Superposition (Superposition) – Extension de l'espace d'état : un qubit peut être dans une combinaison linéaire de 0 et 1.
-
Intrication quantique (Entanglement) – Établissement de corrélations globales : corrélation forte non-locale entre plusieurs qubits.
-
Interférence quantique (Interference) – Manipulation des amplitudes de probabilité : mécanisme essentiel de l'accélération des algorithmes quantiques, permettant aux amplitudes des mauvaises réponses de s'annuler (interférence destructive), tout en amplifiant les amplitudes des bonnes réponses (interférence constructive).
-
Mesure quantique (Measurement) – Réduction de l'état quantique en un résultat classique unique. Le cœur d'un algorithme quantique n'est pas de "lire toutes les réponses", mais de faire en sorte que la bonne réponse ait une probabilité beaucoup plus élevée d'apparaître lors de la mesure.

Figure 1 : Les quatre piliers de l'informatique quantique
(①) La superposition étend l'espace des états – le qubit existe sous la forme d'un mélange continu de |0⟩ et |1⟩ sur la sphère de Bloch.
(②) L'intrication crée des corrélations non-locales : mesurer un qubit détermine immédiatement son partenaire.
(③) L'interférence est le moteur de l'accélération : les amplitudes des mauvaises réponses s'annulent, celles des bonnes s'amplifient.
(④) La mesure réduit l'état quantique à un seul résultat classique – la tâche de l'algorithme est de faire en sorte que le bon résultat ait une probabilité écrasante d'apparaître.
Les deux algorithmes centraux du calcul quantique : la "frappe dimensionnelle" de Shor et l'"accélérateur de force brute" de Grover
-
Algorithme de Shor (1994) : la "frappe dimensionnelle" contre la cryptographie à clé publique : L'algorithme de Shor peut utiliser les propriétés quantiques pour directement "voir à travers" les régularités mathématiques de la factorisation des grands entiers et du logarithme discret, détruisant ainsi les pierres angulaires de la confiance sur l'internet moderne et la blockchain, comme RSA et les courbes elliptiques (ECC) ; cependant, limité par les coûts de la correction d'erreurs quantiques dans la réalité, le cassage des principaux schémas cryptographiques nécessite encore des millions de qubits physiques, un seuil qui pourrait être considérablement abaissé avec des optimisations algorithmiques plus agressives.
-
Algorithme de Grover (1996) : l'"accélérateur de force brute" pour la cryptographie symétrique : L'algorithme de Grover ne peut pas directement casser la structure cryptographique, mais il fait grimper en flèche la vitesse à laquelle l'ordinateur "devine" un mot de passe, avec une accélération de type racine carrée (par exemple, réduisant directement la force de sécurité d'un chiffrement 128 bits à l'équivalent de 64 bits) ; sa menace est bien moins fatale que celle de Shor, et la méthode pour y faire face est simple et brutale – il suffit généralement d'augmenter la longueur des clés, la taille de sortie des fonctions de hachage ou les paramètres de sécurité pour retrouver une marge de sécurité (par exemple, passer à AES-256 ou SHA-512).

Figure 2 : Les deux algorithmes centraux du calcul quantique : l'algorithme de Shor et l'algorithme de Grover
La feuille de route commerciale du calcul quantique : la "course des prétendants" entre cinq grandes approches technologiques
Aucune technologie de qubit n'a établi de leadership clair en ingénierie. Cinq approches font actuellement l'objet de développements commerciaux, chacune avec ses avantages et inconvénients.

Valeur positive et menace négative de l'informatique quantique
La valeur fondamentale de l'informatique quantique réside dans sa capacité à dépasser les limites des calculs classiques sur certains problèmes complexes spécifiques, poussant la science fondamentale et l'ingénierie vers des sauts de paradigme. Sa valeur positive se concentre principalement sur deux grands axes : d'une part, la simulation de systèmes quantiques complexes, incluant la chimie quantique, le développement de médicaments, les nouveaux matériaux et les technologies énergétiques ; d'autre part, la résolution de problèmes d'optimisation de haute complexité, comme la logistique, la finance, les chaînes d'approvisionnement, la conception de puces et la planification industrielle. Parmi celles-ci, la simulation quantique est généralement considérée comme le scénario d'application à long terme le plus déterminant, l'optimisation complexe étant encore au stade de l'exploration et de la validation. Actuellement, l'informatique quantique traverse une phase cruciale de passage du prototype de laboratoire à l'application industrielle ; la décohérence, le bruit physique, le surcoût de la correction d'erreurs et l'extensibilité du système restent les principaux obstacles à franchir pour combler le fossé de l'industrialisation.
La menace quantique cible quant à elle, de manière fondamentale, les fondements des systèmes cryptographiques à clé publique modernes, et se propage selon la logique "durée de vie des données × difficulté de migration × bénéfice de l'attaque" : la sécurité nationale, les systèmes militaires et de renseignement sont en première ligne, confrontés au risque stratégique de "collecte maintenant, déchiffrement plus tard" (HNDL) ; les infrastructures financières et de paiement, profondément dépendantes des systèmes TLS, HSM et d'authentification d'identité, entreront les premières dans l'orbite d'une migration réglementaire ; les racines de confiance d'Internet et l'écosystème blockchain/Web3 font face à de multiples risques systémiques liés à la signature de code, à la gestion des clés dans le cloud (KMS), à l'irréversibilité des actifs en chaîne et à la gouvernance de la migration ; tandis que les domaines de la santé, de l'énergie, du contrôle industriel et de l'IoT, en raison de la longue durée de vie des équipements et de la fenêtre étroite pour les mises à jour, formeront un risque de queue long terme et difficile à éliminer.

Fenêtre temporelle et règle de planification : Q-Day et l'inégalité de Mosca
Le Q-Day fait référence au moment où un ordinateur quantique acquiert pour la première fois la capacité pratique de casser les principaux systèmes cryptographiques à clé publique. Ce n'est pas une date fixe, mais un intervalle de probabilité influencé conjointement par les progrès matériels, la capacité de correction d'erreurs, l'optimisation des algorithmes et le caractère secret des projets nationaux. Les principales prévisions actuelles se situent globalement entre 2035 et 2045, un scénario rapide pouvant avancer à 2030-2035, les risques avant 2030 étant considérés comme faibles (queue de distribution).
L'inégalité de Mosca X + Y > Z explique pourquoi, même si le Q-Day n'est pas imminent, la migration post-quantique conserve une urgence réelle. Ici, X est le temps pendant lequel les données doivent rester secrètes, Y est le temps nécessaire pour compléter la migration cryptographique, et Z est le temps restant avant le Q-Day. Dès que la somme de la durée de vie des données et du cycle de migration dépasse le temps restant avant l'arrivée du Q-Day, le système est déjà entré dans une zone de retard de migration : les données collectées aujourd'hui pourraient être déchiffrées dans le futur par l'informatique quantique. Par conséquent, la sécurité quantique n'est pas un projet d'urgence pour le jour où le Q-Day arrivera, mais une migration d'infrastructure à long terme qui doit être lancée à l'avance.

Figure 3 : Distribution des prévisions d'experts sur le Q-Day en 2026. Chaque barre montre la fenêtre raisonnable d'une source unique ; les points marquent l'estimation centrale.
Le codage couleur représente la catégorie de déclaration : rouge = industrie agressive ; orange = enquête/consensus de référence ; bleu = feuille de route matérielle ; vert = sceptique.
Cryptographie post-quantique (PQC) : panorama des approches techniques, de la standardisation et de la migration industrielle
La cryptographie post-quantique (Post-Quantum Cryptography, PQC), également appelée cryptographie résistante au quantique ou sécurisée quantiquement, est un nouvel ensemble d'algorithmes cryptographiques conçu pour résister aux attaques des futurs ordinateurs quantiques. Sa caractéristique principale est qu'elle s'exécute toujours sur des architectures de calcul classiques existantes, mais que sa sécurité repose sur des problèmes mathématiques difficiles à résoudre efficacement même pour un ordinateur quantique. La PQC est devenue la principale voie de migration résistante au quantique la plus réaliste et ayant le plus grand potentiel de déploiement à grande échelle pour l'infrastructure numérique mondiale.
Approches techniques principales : la rivalité entre la cryptographie sur les réseaux et les signatures basées sur le hachage
La recherche et le déploiement actuels de la PQC se concentrent principalement sur les grandes familles mathématiques suivantes :
-
Cryptographie basée sur les réseaux (Lattice-based) : La sécurité repose sur des problèmes de réseaux en haute dimension (comme Module-LWE), alliant efficacité et sécurité. C'est la direction principale actuelle de la standardisation et de l'implémentation, les algorithmes représentatifs étant ML-KEM et ML-DSA.
-
Signatures basées sur le hachage (Hash-based) : Elles ne dépendent que de la résistance aux collisions des fonctions de hachage, leurs hypothèses mathématiques sont extrêmement simples et conservatrices. La norme représentative est SLH-DSA.
-
Autres approches : la cryptographie basée sur les codes (HQC) a été sélectionnée par le NIST en mars 2025 comme cinquième algorithme PQC, servant de solution de secours non basée sur les réseaux à ML-KEM, avec une norme projetée attendue en 2026 et une norme finale en 2027. Les approches basées sur les multivariés (Multivariate) et les isogénies (Isogeny-based), en raison de problèmes de sécurité ou d'efficacité, ne sont pas encore entrées dans la voie principale de standardisation du NIST, l'approche par isogénie ayant subi un revers important avec le cassage de l'algorithme SIKE.
Jalon de standardisation : le NIST établit le schéma "un encapsulage, deux signatures"
Le processus de standardisation FIPS mené par l'Institut national des normes et de la technologie (NIST) est un tournant clé dans le passage de la PQC de la théorie à l'application. En août 2024, le NIST a officiellement publié trois normes centrales, établissant la division des tâches de base pour la migration PQC :
-
FIPS 203 (ML-KEM) : Mécanisme d'encapsulation de clés (KEM) basé sur les problèmes de réseaux, responsable de l'échange de clés ;
-
FIPS 204 (ML-DSA) : Algorithme de signature numérique basé sur la cryptographie sur les réseaux, responsable de la signature numérique générale ;
-
FIPS 205 (SLH-DSA) : Algorithme de signature numérique basé sur le hachage sans état (stateless), servant d'option alternative pour les signatures de haut niveau de sécurité.
Écosystème de déploiement industriel : une architecture à trois niveaux (voie principale, transition, auxiliaire)
En plus des algorithmes centraux, la construction d'un système de sécurité post-quantique repose sur des stratégies d'ingénierie à plusieurs niveaux :
-
Déploiement hybride (Hybrid) : Utilisation d'un modèle de signature/chiffrement parallèle "algorithme traditionnel (ex. ECC/RSA) + PQC", comme mesure de couverture de risque en début de migration, garantissant que même en cas de vulnérabilité inconnue dans le nouvel algorithme, l'algorithme traditionnel fournit une sécurité minimale.
-
Agilité cryptographique (Crypto-agility) : Conception architecturale permettant au système de remplacer, mettre à niveau ou restaurer rapidement des algorithmes, pour faire face aux risques futurs de cassage d'algorithmes.
-
Technologies d'amélioration auxiliaires : elles comprennent la distribution quantique de clés (QKD) (adaptée aux réseaux dédiés gouvernementaux/militaires, mais incapable de remplacer la vérification de signature sur Internet), la génération de nombres aléatoires quantiques (QRNG) et les modules matériels sécurisés (HSM/Secure Enclave), utilisés pour améliorer la qualité des nombres aléatoires et la sécurité du stockage des clés.

Figure 4 : Panorama des approches résistantes au quantique
Risque quantique de l'industrie blockchain et pratiques post-quantiques
La blockchain n'est pas la cible principale de la menace quantique, mais constitue un scénario de "test de résistance" de grande valeur. Contrairement au Web2 traditionnel qui dépend de mécanismes centralisés (comme la rotation des certificats, le gel des comptes) pour amortir le risque de fuite de données, la blockchain transforme directement et instantanément une crise cryptographique fondamentale en une perte d'actifs et une impasse de gouvernance. L'"irréversibilité triple" inhérente à son architecture – registre permanent et public, transfert d'actifs irréversible et autogestion des clés privées – signifie que les actifs dont la clé publique est déjà exposée pourraient faire face à une récupération de clé privée et à une contrefaçon de signature, sans aucune solution de secours centralisée. Plus grave encore, les systèmes de signature par courbe elliptique et BLS, sur lesquels reposent fortement les principales blockchains publiques, sont structurellement vulnérables face à l'algorithme de Shor ; une fois que l'ordinateur quantique tolérant aux fautes (CRQC) apparaîtra, un attaquant pourra déduire la clé privée à partir de la clé publique exposée sur la chaîne et forger des signatures, ébranlant ainsi fondamentalement la pierre angulaire de la confiance dans la blockchain.

Carte des menaces pour les composants cryptographiques d'un système blockchain
Pour l'industrie blockchain, la question centrale n'est pas de faire face à des pirates immédiats, mais de lancer une "course contre la montre" pour la migration. L'informatique quantique ne détruira pas instantanément la blockchain, mais elle forcera l'industrie à traverser une reconstruction cryptographique fondamentale plus difficile que pour le Web2. Le véritable risque ne réside pas dans l'absence d'algorithmes post-quantiques standardisés, mais dans la capacité de l'ensemble de l'écosystème à effectuer une migration coordonnée de bout en bout, des protocoles sous-jacents aux actifs existants, avant le Q-Day (le point critique où l'ordinateur quantique tolérant aux fautes acquiert une capacité pratique de cassage).
Dans ce processus, la menace quantique ne s'abat pas de manière uniforme, mais se propage progressivement à travers une architecture à cinq niveaux : "actifs, protocole, infrastructure, applications, gouvernance". La principale idée est la suivante : la couche d'infrastructure à haute valeur (comme les plateformes d'échange, les services de garde, les ponts inter-chaînes) sera sous pression avant les protocoles des réseaux principaux de niveau 1 (L1) ; et le goulot d'étranglement ultime déterminant le succès de cette migration de bout en bout n'est pas le remplacement de la technologie cryptographique, mais l'extrêmement complexe consensus social et les jeux de gouvernance.

Pratiques post-quantiques de Bitcoin et d'Ethereum
Risque quantique de Bitcoin : exposition de la clé publique, expansion des signatures et friction de gouvernance
Le risque quantique de Bitcoin n'est pas uniformément réparti sur tous les BTC, mais dépend fortement de la question de savoir si la clé publique a déjà été exposée sur la chaîne. Le risque élevé ne concerne pas tous les UTXO du réseau, mais se concentre sur les sorties héritées des débuts, les adresses dont la clé publique est déjà exposée et qui ont encore un solde, ainsi que les UTXO dormants à haute valeur depuis longtemps. Les composants de hachage de Bitcoin (SHA-256, SHA256d et RIPEMD-160) font principalement face à une réduction de la marge de sécurité due à l'algorithme de Grover, et non à une rupture structurelle par l'algorithme de Shor comme pour ECDSA / Schnorr.
-
Risque élevé : UTXO dont la clé publique est statiquement exposée : Les sorties P2PK et Taproot (P2TR) anciennes, ainsi que les adresses P2PKH/P2WPKH déjà dépensées, réutilisées et ayant encore un solde. Leur clé publique complète est déjà définitivement sur la chaîne et sera la première cible directe de l'algorithme de Shor dès l'apparition du CRQC.
-
Risque moyen : UTXO dont la clé publique n'est pas encore exposée mais le sera à l'avenir : Adresses P2PKH/P2WPKH non dépensées et non réutilisées. Seul le hachage de la clé publique est exposé sur la chaîne ; le risque n'existe que pendant la brève "fenêtre de course quantique" entre la diffusion d'une transaction future et sa confirmation.
-
Risque faible : actifs déjà migrés vers des adresses quantiquement sécurisées : Les actifs migrés à l'avenir via un soft fork vers des adresses post-quantiques (PQ) verront leur risque considérablement réduit, mais cela dépend fortement d'une mise à niveau coordonnée à long terme de tout l'écosystème.
Défi technique : expansion des signatures et voie "soft fork d'abord"
Dans la structure de gouvernance de Bitcoin, le coût politique d'un hard fork unique pour abandonner ECDSA / Schnorr est extrêmement élevé. L'introduction de nouveaux types de sorties quantiquement sécurisées via un soft fork est l'une des voies progressives plus réalistes. Les discussions actuelles incluent des projets comme le BIP-360 / P2MR (Pay-to-Merkle-Root), mais ils sont encore très loin d'un consensus et d'une activation par le réseau.
Cette approche doit payer une lourde "taxe technique" : les signatures ECDSA / Schnorr actuelles ne font qu'environ 64–72 octets, tandis que les candidates ML-DSA (2,4–4,6 Ko) et SLH-DSA (7–49 Ko) voient leur taille exploser de plusieurs dizaines de fois. Cette expansion d'un ordre de grandeur déclenchera des réactions en chaîne systémiques : elle augmentera directement le poids des blocs et les frais de transaction, alourdira le stockage et la bande passante des nœuds, entraînera une détérioration significative de l'ensemble UTXO et de l'expérience utilisateur des portefeuilles, créant finalement une boucle de rétroaction négative qui augmentera la résistance à la migration post-quantique sur l'ensemble du réseau.
Plus important encore, Bitcoin manque de capacité de changement rapide d'algorithme. Contrairement à un système centralisé qu'un seul acteur peut mettre à niveau en changeant de certificat ou d'algorithme, Bitcoin nécessite une adaptation synchronisée des règles de consensus, du format d'adresse, des portefeuilles, des pools de minage, des plateformes d'échange, des services de garde et des portefeuilles matériels. Ainsi, la migration post-quantique n'est pas une mise à niveau technique ponctuelle, mais un long travail d'ingénierie de coordination à l'échelle de tout l'écosystème.
Jeux de gouvernance : le "dilemme des valeurs" des UTXO hérités
Même si des adresses PQ sont déployées avec succès, le traitement des UTXO hérités à long terme qui ne migrent pas, y compris les BTC dormants depuis longtemps et généralement considérés par le marché comme datant de l'ère de Satoshi, reste une question ultime. Deux solutions extrêmes entrent en conflit avec les valeurs fondamentales de Bitcoin :
-
Ne rien faire : Les cryptomonnaies héritées deviendront un "repas gratuit" pour le premier attaquant disposant d'un CRQC, déclenchant la panique sur le marché.
-
Geler/invalider de force : Cela contredit directement le principe de propriété "Not your keys, not your coins" et le récit de l'immuabilité, risquant fortement de diviser le consensus communautaire et de provoquer un fork de la chaîne.
La voie pragmatique intermédiaire est de mettre en œuvre un mécanisme de "dépréciation des anciennes" (Legacy Sunset) sur plusieurs années : publier des avertissements d'abandon à long terme, augmenter progressivement la friction dans la politique de relais pour les dépenses des anciennes sorties, et finalement, après coordination multilatérale, imposer des contraintes via un soft fork. Les discussions comme celle du BIP-361 sur le legacy signature sunset explorent essentiellement cette voie.
Par conséquent, la migration de Bitcoin n'est pas fondamentalement un problème de cryptographie. Les algorithmes PQ existent déjà et peuvent être intégrés ; le véritable goulot d'étranglement est le consensus social autour de questions telles que l'immuabilité, la propriété et la légitimité à "déclarer des actifs comme non sécurisés quantiquement". Autrement dit, le risque quantique de Bitcoin n'est pas un scénario apocalyptique où tout s'effondre un jour donné, mais un processus graduel allant de la faisabilité théorique, au coût économique élevé, jusqu'à l'exécution pratique ; ce que l'industrie doit réellement obtenir, c'est d'achever la coordination de la migration avant que l'économie de l'attaque ne devienne viable.

Figure 5 : Migration post-quantique de Bitcoin : un processus de gouvernance à long terme
Migration post-quantique d'Ethereum – Refonte complète et feuille de route "Lean"
Ethereum prend activement en charge la menace quantique. Sous la direction de l'équipe Post-Quantique de la Fondation Ethereum (EF) (https://pq.ethereum.org/), des recherches progressent régulièrement via des processus de gouvernance ouverts comme All Core Devs. Sa stratégie centrale n'est pas de "miser d'un coup sur un seul algorithme post-quantique (PQ)", mais d'améliorer globalement l'agilité cryptographique (Cryptographic Agility) du réseau – s'assurer que l'authentification des comptes, la signature de consensus, les systèmes de preuve et l'engagement de la couche données ont une capacité à long terme de remplacement, de mise à niveau et de vérification.
Le risque quantique d'Ethereum est fortement concentré sur quatre composants cryptographiques : les comptes EOA (ECDSA/secp256k1), le consensus des validateurs (signature BLS), la disponibilité des données (engagement KZG) et certains systèmes de preuve ZK. Pour cela, l'EF a conçu une feuille de route "Lean" avancant en parallèle sur trois voies : exécution, consensus, données.
-
Couche d'exécution (comptes utilisateurs) : L'AA comme tampon et les L2 comme terrain d'essai
Face à la masse des EOA, la résistance à un hard fork direct est énorme. Ethereum s'appuie sur l'abstraction de compte (comme ERC-4337 et EIP-7702) pour donner aux portefeuilles intelligents une "agilité de signature", supportant les signatures hybrides et la migration progressive, évitant ainsi une coordination forcée sur l'ensemble du réseau. Parallèlement, les L2, grâce à leur gouvernance flexible, deviennent un terrain d'essai naturel pour le déploiement PQ ;
-
Couche de consensus (signatures des validateurs) : La "combinaison" leanXMSS et leanVM
Elle vise à remplacer complètement les signatures BLS dépendant de l'appariement sur courbes elliptiques. La stratégie centrale est d'adopter leanXMSS basé sur le hachage, combiné à un zkVM minimaliste (leanVM) pour l'agrégation SNARK. Percée technique clé : leanVM devrait pouvoir comprimer les énormes données de signature de hachage d'environ 250 fois, compensant ainsi l'expansion de volume des signatures PQ, tout en conservant l'avantage d'échelle de la "signature multiple en une" en entrant dans l'ère post-quantique.
-
Couche données (Blob, DA et KZG) : Refonte fondamentale à long terme des engagements
Dans des conditions CRQC, l'hypothèse de sécurité fondamentale de KZG doit encore être réévaluée, et une migration à long terme vers des systèmes d'engagement ou de preuve plus adaptés au PQ est nécessaire. Sa direction finale est d'évoluer vers des engagements basés sur le hachage (STARK) ou sur les réseaux (Lattice). Il s'agit d'une refonte fondamentale de protocole sur plusieurs années, et non d'une défaillance immédiate.
De plus, le risque quantique d'Ethereum n'est pas uniformément distribué. Les EOA constituent le plus grand bassin de valeur ; les clés opérationnelles à haute valeur (clés d'échange, de pont, de portefeuilles chauds de garde, de gouvernance/mise à niveau, de séquenceur L2 et d'administration) pourraient être sous pression avant le protocole lui-même. Globalement, la migration post-quantique d'Ethereum n'est pas un simple remplacement de signature, mais une ingénierie complète à l'échelle de la pile sur plusieurs années, impliquant comptes, consensus, DA, ZK, L2, ponts, garde et vérification formelle.

Figure 6 : Migration post-quantique d'Ethereum : Exécution (comptes utilisateurs), Consensus (signatures des validateurs) et Données (engagements et preuves).

Comparaison panoramique des profils de migration post-quantique de Bitcoin et Ethereum
Théoriquement, toutes les blockchains publiques dépendant de la cryptographie à clé publique traditionnelle font face à un risque quantique. Mais celles qui posent réellement une question systémique de migration post-quantique restent principalement Bitcoin et Ethereum : la première concerne les UTXO hérités, l'immuabilité et la gouvernance des droits de propriété ; la seconde concerne la refonte complète de la pile technologique (comptes, consensus, DA, ZK et L2). Les autres blockchains publiques servent davantage de références complémentaires pour les approches techniques et les scénarios de risque.
-
Solana représente l'exploration technique du coût de vérification des signatures PQ pour une blockchain à haut débit. Sa communauté a déjà discuté de la validation syscall avec Falcon-512 / FN-DSA, mais cette solution reste exploratoire et complémentaire, ne remplaçant pas l'Ed25519 actuel, et ne représentant pas une feuille de route officielle de migration pour Solana ;
-
Starknet / STARK représente la voie ZK basée sur le hachage (hash-based proof system), plus adaptée au PQ. Comparé aux systèmes SNARK dépendant des appariements / KZG, le mécanisme de preuve sous-jacent de STARK est plus adapté comme direction pour le ZK post-quantique ; mais cela ne signifie pas que l'ensemble du réseau Starknet est déjà quantiquement sécurisé, la signature du portefeuille, les paramètres de hachage, les mécanismes de pont et le règlement sur Ethereum L1 nécessitent toujours une migration simultanée.
-
QRL, Quantus, Abelian et d'autres blockchains natives ou quasi-natives PQ offrent une référence technique pour une conception post-quantique sur table rase (clean-slate) : QRL représente la première voie de signature basée sur le hachage, Quantus représente le récit natif PQ L1 de la nouvelle génération NIST PQC, et Abelian penche vers une L1 préservant la vie privée basée sur les réseaux (lattice-based). Elles montrent une voie viable de "construction d'une blockchain PQ dès le premier jour", mais leur effet de réseau, leur liquidité et leur écosystème d'applications restent bien inférieurs à BTC/ETH, les rendant plus adaptées comme échantillons techniques.
Conclusion : L'échéance de la dette de sécurité et le compte à rebours du "Q-Day" pour tout l'écosystème
L'informatique quantique n'est pas une "arme de l'apocalypse" qui mettra fin à la blockchain, mais une remise à zéro systémique des systèmes cryptographiques à clé publique modernes. La menace centrale réside dans l'ordinateur quantique tolérant aux fautes (CRQC) à grande échelle, capable à l'avenir d'un cassage stratégique. Le véritable risque pour l'industrie ne réside pas dans l'absence d'algorithmes post-quantiques (PQC), mais dans la capacité de l'ensemble de l'écosystème Web3 à effectuer une migration coordonnée de bout en bout avant le Q-Day (le point critique de cassage quantique). À court et moyen terme, le risque de défaillance des systèmes de signature existants et le coût élevé de la mise à niveau complète de la pile constituent une lourde "dette de sécurité" ; à long terme, la pression pour la survie se transformera en catalyseur industriel, faisant directement émerger de nouvelles pistes d'infrastructure de sécurité telles que les portefeuilles hybrides PQ, la garde institutionnelle résistante au quantique, les radars de risque quantique et l'agrégation de signatures PQ.
Bien que la période de préparation macro puisse durer 5 à 15 ans, la véritable "fenêtre de confort technique" ne dépasse pas 5 à 8 ans. Cela exige une coordination étroite de toute la chaîne (des propositions BIP/EIP, à l'implémentation des nœuds, l'adaptation des portefeuilles, et la mise à niveau réglementaire des plateformes d'échange et des services de garde). Plus important encore, le réajustement du marché pourrait précéder le Q-Day lui-même : si les estimations des ressources quantiques continuent de diminuer, si la feuille de route matérielle avance significativement, ou si les régulateurs et les grands services de garde imposent des exigences de conformité PQC, le marché pourrait commencer à réévaluer le modèle de sécurité cryptographique des actifs blockchain. Dans cette fenêtre, les deux principaux écosystèmes feront face à des épreuves ultimes très différentes :
-
Bitcoin : Le principal défi n'est pas la cryptographie, mais le consensus social mondial et la gouvernance des droits de propriété. Comment traiter les Legacy UTXO dormants à long terme dont la clé publique est exposée est un jeu politique qui touche au fondement même du récit de l'"immuabilité".
-
Ethereum : Le principal défi réside dans la complexité technique des protocoles multicouches et de l'écosystème complet de la pile. Comment réaliser le remplacement cryptographique à travers les couches de compte, de consensus, de DA et de ZK sans paralyser le réseau, tout en compensant l'expansion du volume des signatures.
Dans la configuration d'actifs à long terme, les frictions de gouvernance post-quantique constituent un "risque de queue structurel" pour le BTC, mais ce n'est en aucun cas une raison de le considérer à la baisse aujourd'hui. Sa gouvernance extrêmement conservatrice et "difficile à changer" a un double effet : elle représente à la fois la plus grande résistance à la migration post-quantique, et la principale barrière défensive pour maintenir son récit de réserve de valeur et résister aux interventions centralisées, ce qui exige des investisseurs qu'ils abandonnent la croyance statique que "le BTC n'aura jamais besoin de mise à niveau majeure". À l'avenir, si l'échéancier du Q-Day est substantiellement avancé, si la communauté refuse de progresser vers une migration PQ alors que l'écosystème périphérique a déjà agi, si les UTXO à clé publique exposée à haute valeur déclenchent des ventes de panique, ou si le traitement des actifs hérités tombe dans une division complète, le marché réévaluera à la baisse le modèle de sécurité et le consensus fondamental du BTC.






