9 minutes pour casser le Bitcoin ? Les limites et malentendus du livre blanc quantique de Google

Légende : Max He @ Safeheron Lab

Jugement central de cet article

• Les livres blancs de Google font nettement progresser l’évaluation des risques quantiques de manière industrialisable, mais ne prouvent pas que la CRQC est proche d’une mise en œuvre réaliste

• La baisse des estimations de ressources ≠ la capacité d’attaque réelle est déjà en place ; il reste encore de nombreux défis d’ingénierie non franchis entre les deux

• Ce que l’industrie doit bâtir, ce n’est pas seulement la capacité d’« adopter des algorithmes post-quantiques », mais la capacité de « faire face à l’évolution continue de la cryptographie »

• 2030–2035 est une fenêtre de référence essentielle pour préparer la transition par anticipation, et non un moment précis où les attaques quantiques arriveraient

Le 30 mars 2026, des chercheurs de Google Quantum AI, en collaboration avec la Fondation Ethereum et l’université Stanford, ont publié un livre blanc majeur [1]. Ce document de 57 pages analyse de façon systématique la menace que représente l’informatique quantique pour la cryptomonnaie et fournit, à ce jour, les estimations de ressources les plus audacieuses : pour casser la cryptographie elliptique à 256 bits sur laquelle reposent Bitcoin et Ethereum, il faudrait moins de 500 000 qubits quantiques physiques — ce qui réduit d’environ 20 fois la meilleure estimation précédente.

Dans le même temps, le document étend la discussion sur les attaques quantiques de Bitcoin à l’ensemble de l’écosystème des cryptomonnaies, en soulignant également que des surfaces d’attaque quantique potentielles existent aussi dans des mécanismes tels que les smart contracts d’Ethereum, le consensus de mise (staking) et l’échantillonnage de disponibilité des données. Cela signifie que, dans ce livre blanc, il ne s’agit plus seulement de la question unique « les clés privées de Bitcoin seront-elles cassées par l’informatique quantique ? », mais de pousser l’ensemble de l’industrie à se réexaminer : face à l’évolution des capacités quantiques, quelles hypothèses de sécurité des systèmes de blockchain actuels doivent éventuellement être réévaluées.

Ce livre blanc a suscité un choc évident dans l’industrie de la blockchain. L’affirmation « l’informatique quantique pourrait casser Bitcoin en quelques minutes » s’est rapidement propagée, amenant de nombreux professionnels à revoir leurs hypothèses de sécurité existantes. Si la réaction a été aussi forte, ce n’est pas seulement parce que les estimations de ressources baissent encore davantage, mais aussi parce que, pour la première fois, la question « une attaque visant la fenêtre des transactions on-chain est-elle possible ? » et la question « le système de blockchain aura-t-il le temps d’achever sa migration ? » ont été placées sur le même plan de discussion. Le problème ne se limite plus à « peut-on casser [ou pas] ? » sur le plan académique ; il devient sur le plan de l’ingénierie et de la gouvernance : « avons-nous encore assez de temps pour nous préparer [ou pas] ? ».

Mais au-delà de ces émotions, une question plus digne d’être posée est la suivante : qu’est-ce que Google a réellement prouvé ? Et qu’est-ce qu’il n’a pas prouvé ? Dans quelle mesure ce travail a-t-il modifié notre compréhension du risque quantique ?

Il convient de noter que l’impact discuté dans ce livre blanc ne se limite pas au problème de l’exposition des clés de type Bitcoin ; il s’étend à un panorama plus large de surfaces d’attaque des systèmes de cryptomonnaies. Toutefois, l’article s’intéresse davantage aux changements que ce travail apporte à l’évaluation globale du risque quantique qu’au déploiement, point par point, des impacts précis des différents mécanismes on-chain.

1 Que fait exactement Google cette fois ?

1.1 ECDLP : l’hypothèse de base de la sécurité de la blockchain

La sécurité des cryptomonnaies mainstream actuelles repose sur le problème du logarithme discret sur courbes elliptiques (ECDLP) [2]. Par exemple, pour la courbe secp256k1 utilisée par Bitcoin et Ethereum [3], l’hypothèse centrale est la suivante : dans des conditions de calcul classiques, étant donné une clé publique (un point sur la courbe elliptique), il est impossible de déduire la clé privée correspondante dans un temps raisonnable.

Cette hypothèse a été largement acceptée pendant des dizaines d’années et constitue la prémisse de sécurité fondamentale de l’ensemble du système de blockchain. Cependant, l’algorithme de Shor [4] indique que, dans un modèle idéal d’informatique quantique, l’ECDLP peut être résolu efficacement, ce qui ébranle théoriquement cette base de sécurité.

1.2 Estimations des ressources : quelle capacité de calcul quantique faut-il pour casser

Le cœur du travail de Google n’est pas de proposer une nouvelle méthode d’attaque, mais de répondre à nouveau à une question de longue date : si, à l’avenir, on parvient réellement à fabriquer un ordinateur quantique suffisamment grand, suffisamment stable et capable d’exécuter ce type d’algorithmes quantiques, quelles ressources de calcul faut-il pour casser l’ECDLP ?

Le papier construit et optimise des circuits quantiques ciblant secp256k1 et donne deux orientations d’implémentation différentes : l’une qui vise à réduire au maximum le nombre de qubits quantiques logiques, et l’autre qui vise à réduire au maximum le nombre de portes non-Clifford (par exemple les portes de Toffoli). Sous un ensemble d’hypothèses explicites concernant le matériel et la correction d’erreurs, ces circuits peuvent être exécutés à une échelle de moins de 500 000 qubits quantiques physiques.

Par rapport aux estimations mainstream antérieures [5][6], ce résultat améliore nettement un indicateur composite appelé « volume espace-temps » (spacetime volume). Plus important encore, il transforme une discussion auparavant plutôt théorique en un ensemble de paramètres d’ingénierie comparables et traçables.

1.3 « 9 minutes » : d’où vient ce chiffre

Au-delà des estimations de ressources, le papier fournit aussi un ordre de grandeur intuitif du temps d’attaque.

En supposant que le temps de fonctionnement des portes quantiques est de l’ordre de la microseconde et en tenant compte d’une certaine surcharge d’exécution, l’exécution complète des circuits quantiques concernés nécessite environ une dizaine de minutes. En tenant compte du fait que certaines parties du calcul de l’algorithme peuvent être effectuées avant l’apparition de la clé publique, les calculs réellement liés à la clé publique cible peuvent être comprimés à environ la moitié du temps, ce qui aboutit à l’estimation de « environ 9 minutes ».

Ce chiffre attire l’attention largement parce qu’il est proche du temps moyen d’établissement d’un bloc de Bitcoin, environ 10 minutes. Cela signifie que, sous certaines hypothèses, l’attaquant pourrait théoriquement terminer la restauration de la clé privée avant la confirmation de la transaction.

Il faut insister sur le fait que cette estimation temporelle dépend d’une série complète de prémisses idéalisées ; sa signification consiste davantage à fournir un repère d’ordre de grandeur, plutôt qu’à refléter directement une capacité d’attaque réaliste.

1.4 Preuves à divulgation vérifiable : pourquoi ne pas publier le circuit

Un autre point important du papier est qu’il introduit, sans publier le circuit quantique spécifique, une méthode de « divulgation vérifiable » [7].

L’équipe de recherche s’engage dans un circuit au moyen d’un hash, puis, dans un programme de vérification rendu public, vérifie le comportement du circuit sur un ensemble d’entrées aléatoires, tout en vérifiant sa borne supérieure en termes de ressources. L’ensemble du processus de vérification est encapsulé sous forme de preuve à connaissance nulle (zero knowledge proof), de sorte que n’importe quel tiers peut confirmer la validité des déclarations correspondantes sans toucher aux détails du circuit.

Cette approche établit un équilibre entre « protection des détails de l’attaque » et « amélioration de la crédibilité des conclusions », tout en rendant les estimations de ressources non seulement des déclarations des chercheurs, mais dotées d’une signification vérifiable au sens cryptographique.

2 Comment faut-il comprendre cette affaire ?

Avant d’approfondir la compréhension de ces résultats, il y a un concept à clarifier d’abord.

Le papier mentionne à plusieurs reprises CRQC (Cryptographically Relevant Quantum Computer）. Ce terme est une traduction littérale de « ordinateur quantique pertinent pour la cryptographie », mais il ne désigne pas une appellation générique pour l’informatique quantique ; il renvoie à des systèmes quantiques qui disposent déjà d’une capacité d’analyse cryptographique exploitable dans le monde réel. Autrement dit, ce qui mérite vraiment l’attention de l’industrie de la blockchain n’est pas seulement de savoir si l’informatique quantique continue de progresser, mais le moment où elle arrivera à un niveau suffisant pour casser, dans des conditions réalistes, des problèmes cryptographiques comme l’ECDLP.

Sous cet angle, l’intérêt de ce travail de Google ne consiste pas seulement à montrer les progrès de l’informatique quantique en tant que tels, mais à répondre plus concrètement à une question : une machine de calcul quantique capable de menacer des systèmes cryptographiques réels, quel niveau de ressources, quelles capacités d’exécution et quelles caractéristiques temporelles doit-elle présenter ?

Plus précisément, cette question peut se comprendre selon trois dimensions : les caractéristiques d’exécution d’un système de calcul quantique, les différentes trajectoires d’évolution technologique possibles, et les modes d’attaque auxquels ces capacités aboutissent finalement.

2.1 Horloge rapide et horloge lente : il n’existe pas qu’un seul type d’ordinateur quantique

Un point de vue important proposé par le papier est de distinguer différents types d’architectures de calcul quantique.

Certaines plateformes (telles que des qubits supraconducteurs) disposent de vitesses d’opération de base plus rapides et de cycles de correction d’erreurs plus courts, permettant d’exécuter des circuits profonds sur une durée plus brève ; tandis que d’autres plateformes (telles que les ions piégés [14] ou les atomes neutres) ont des vitesses d’opération plus lentes, mais pourraient présenter des avantages sur d’autres aspects.

Cette différence signifie que « la capacité de calcul quantique » n’est pas un indicateur unique. À taille de système comparable, selon l’architecture, la capacité réelle d’attaque contre des problèmes cryptographiques peut présenter des différences pouvant aller jusqu’à plusieurs ordres de grandeur.

Cette divergence de caractéristiques d’exécution influence directement la manière dont se forme la CRQC et sa structure temporelle : certains systèmes sont plus proches de l’achèvement du calcul dans une fenêtre de temps courte, tandis que d’autres sont plus adaptés à une exécution sur une durée plus longue.

2.2 Deux trajectoires possibles d’évolution

Sur la base des différences d’architecture mentionnées ci-dessus, on peut envisager plus en détail les trajectoires d’évolution de la capacité de calcul quantique.

Dans un premier cas, les systèmes quantiques capables d’exécution plus rapide atteignent d’abord le niveau de tolérance aux fautes ; dans ce cas, des attaques en temps réel contre les transactions on-chain (par exemple restaurer la clé privée avant la confirmation de la transaction) deviendront le principal risque. Dans un autre cas, des systèmes plus lents mais plus stables obtiennent d’abord une percée ; dans ce cas, l’attaque risque davantage de se concentrer sur des clés publiques exposées de façon durable pendant une longue période, par exemple des adresses historiques ou des clés réutilisées.

Ces deux trajectoires ne s’excluent pas mutuellement, mais elles correspondent à des structures de temps de risque et à des priorités de défense sensiblement différentes.

Sous cet angle, l’apparition d’une CRQC ne correspond pas nécessairement à un moment précis et clair, mais elle se manifeste plutôt comme un processus au cours duquel différentes capacités se mettent progressivement en place.

2.3 Trois types d’attaques

Dans le cadre ci-dessus, on peut regrouper les attaques quantiques en trois grandes catégories.

La première est l’« attaque pendant la transaction » (on-spend attack), c’est-à-dire la restauration de la clé privée dans la fenêtre de temps où la transaction est entrée dans le mempool et avant son inclusion dans un bloc. La deuxième est l’« attaque à demeure » (at-rest attack), qui cible les clés publiques déjà exposées depuis longtemps sur la chaîne, permettant aux attaquants de disposer de davantage de temps de calcul. La troisième est l’« attaque de configuration » (on-setup attack), qui cible certains protocoles dépendant de paramètres publics et, grâce à un calcul quantique unique, obtient un backdoor réutilisable.

Le point commun de ces trois types d’attaque est qu’ils reposent tous sur la même capacité de base — résoudre l’ECDLP dans un délai acceptable — mais leur dépendance à la fenêtre temporelle et à la structure du système diffère.

D’après le résultat, ces trois catégories ne sont que des formes différentes d’une même chose : lorsque la capacité de calcul quantique atteint le niveau représenté par la CRQC, l’impact concret sur des conditions de systèmes différentes et des contraintes de temps spécifiques.

3 À quelle distance sommes-nous de la vraie attaque quantique ?

3.1 Ce livre blanc ne prouve pas ce que beaucoup pensent

Il faut souligner que, même si ce livre blanc fait nettement progresser l’évaluation industrialisée du risque quantique, il ne prouve pas que la CRQC soit proche d’une mise en œuvre réaliste, et il ne prouve pas non plus que les systèmes de blockchain existants seront confrontés à des attaques quantiques réelles et réalisables à court terme.

Ce que fait réellement le papier, c’est, sous un ensemble d’hypothèses explicites, de comprimer davantage les estimations de ressources nécessaires pour casser secp256k1, et de faire passer les discussions de risque, auparavant plutôt abstraites, vers un endroit plus adapté à l’évaluation d’ingénierie. Ce qu’il prouve, c’est que les problèmes concernés sont plus concrets qu’on ne le comprenait auparavant et qu’ils méritent un suivi continu ; mais il ne prouve pas que de grands systèmes quantiques tolérants aux fautes, qui soutiennent ces attaques, soient déjà à portée immédiate.

3.2 La demande en ressources baisse, mais la distance d’ingénierie reste clairement visible

Plus précisément, entre « un algorithme quantique peut théoriquement casser l’ECDLP » et « dans le monde réel, une capacité de calcul quantique apparaît réellement et peut menacer des systèmes cryptographiques », il ne s’agit pas seulement d’un problème simple d’amplification d’ingénierie. Ce qui décide vraiment si les attaques quantiques peuvent passer à la pratique, ne se limite pas aux chiffres d’estimation des ressources sur papier : cela inclut aussi l’architecture de tolérance aux fautes, la correction d’erreurs, le décodage en temps réel, les systèmes de contrôle, ainsi que la capacité globale à exécuter des circuits profonds de manière stable sur une longue durée.

Une partie de ces conditions relève bien de problèmes de mise en œuvre d’ingénierie ; toutefois, on ne peut pas les comprendre simplement comme : « il suffit de continuer à investir, et tôt ou tard, ces éléments se régleront naturellement ». La correction d’erreurs quantiques et le calcul tolérant aux fautes donnent, sur le plan théorique, une trajectoire extensible ; mais dans la réalité, il subsiste une incertitude évidente quant à la possibilité de véritablement intégrer ces conditions pour construire un CRQC durable, capable de menacer des systèmes cryptographiques réels.

Sous cet angle, l’intérêt de ce livre blanc de Google est plus exactement le suivant : il ne s’agit pas de déclarer que l’attaque quantique est imminente, mais de permettre pour la première fois à l’industrie de discuter ce risque avec des paramètres d’ingénierie plus concrets, tout en nous rappelant qu’il ne faut pas assimiler directement la baisse des estimations de ressources à une capacité d’attaque réelle déjà en place.

3.3 Ce n’est pas un sujet adapté à la prédiction précise d’une année

C’est précisément pour cette raison que l’arrivée des attaques quantiques ne doit pas être comprise comme un moment qu’on pourrait prédire avec précision. Pour l’industrie de la blockchain, ce qui compte réellement n’est pas « en quelle année une CRQC apparaîtra sûrement », mais si les capacités concernées évoluent dans une direction de plus en plus préoccupante.

D’un côté, des percées clés pourraient modifier de manière significative les besoins en ressources à court terme ; de l’autre, même des trajectoires technologiques qui semblent proches pourraient rester longtemps bloquées avant d’atteindre certains goulets d’étranglement fondamentaux. Cela signifie que nous ne pouvons pas déterminer facilement quand la capacité d’attaque réelle apparaîtra en faisant des extrapolations linéaires du type « combien de qubits cette année, combien de qubits l’année prochaine ».

Par conséquent, une compréhension plus prudente de cette question n’est pas de chercher à parier sur une année précise, mais de reconnaître qu’elle comporte une forte incertitude, tout en se concentrant sur les signaux de base qui pourraient réellement changer l’évaluation du risque.

3.4 Ce qui doit le plus alerter : les signaux d’alerte pourraient ne pas être évidents

Cela implique également que la communauté ne devrait pas s’attendre à obtenir un signal d’alerte clair grâce à une « démonstration publique d’une attaque quantique ».

Beaucoup de personnes ont l’habitude de considérer une démonstration publique comme un signe de maturité technologique ; il semblerait que tant qu’on n’a pas vu une démonstration dans le monde réel, cela signifie que la distance avant la vraie menace est encore grande. Mais dans le cas de l’analyse cryptographique quantique, cette intuition n’est pas forcément fondée. Lorsque certaines démonstrations emblématiques apparaîtront réellement, la capacité correspondante aura peut-être déjà été accumulée pendant une longue période dans des couches plus profondes de la technologie, et la fenêtre de défense aura peut-être déjà nettement rétréci.

Pour l’industrie de la blockchain, c’est précisément le point le plus difficile à traiter : les changements réellement importants ne se dérouleront peut-être pas d’une manière claire, progressive et visible de l’extérieur.

4 Comment déterminer les progrès quantiques ?

4.1 Ne pas se limiter au nombre de qubits

Si le chapitre 3 répond à « où en sommes-nous à peu près », alors la question suivante est : qu’est-ce qu’il faut observer à l’avenir pour juger plus précisément l’évolution quantique ?

L’indicateur le plus facilement diffusé et le plus facilement mal compris est le nombre de qubits. Il est suffisamment intuitif et suffisamment frappant, mais pour la capacité d’analyse cryptographique, il ne s’agit pas du seul indicateur, et il n’est même pas l’indicateur le plus essentiel. L’augmentation simple du nombre de qubits physiques ne signifie pas automatiquement que le système se rapproche de la capacité d’attaque réaliste.

Ce qui mérite réellement d’être surveillé, c’est si ces qubits peuvent être efficacement organisés sous des conditions de tolérance aux fautes, s’ils peuvent soutenir de manière stable l’exécution de circuits profonds, et s’ils forment une boucle fermée entre les algorithmes et les systèmes de contrôle. Pour l’industrie, « combien de qubits » ne peut au mieux montrer que l’évolution de l’échelle ; cela ne peut pas, à lui seul, expliquer dans quelle mesure la menace réelle se rapproche.

4.2 Ce qui vaut vraiment la peine d’être surveillé : trois types de signaux

Si l’on souhaite construire un cadre d’évaluation relativement actionnable des progrès quantiques, on peut se concentrer sur trois types de signaux.

Le premier est le signal matériel. Ici, l’élément vraiment important n’est pas seulement le nombre de qubits physiques : il faut voir si des qubits logiques stables commencent à apparaître, si la correction d’erreurs entre dans une phase extensible, et si le système peut continuer à fonctionner en continu sous des conditions de correction d’erreurs.

Le deuxième est le signal algorithmique. Le livre blanc de Google lui-même en est un exemple typique. Pour l’industrie de la blockchain, ce qui mérite davantage l’attention n’est pas un nombre isolé en soi, mais si ce type d’estimations de ressources continue à baisser : le nombre de qubits logiques diminue-t-il, le nombre d’opérations de portes clés diminue-t-il, l’ensemble du volume espace-temps continue-t-il de converger ?

Le troisième est le signal système. Celui-ci est souvent le plus facile à négliger. Même si le matériel et les algorithmes progressent, il faut encore voir si les capacités au niveau système deviennent progressivement matures, par exemple la capacité à exécuter de manière stable des circuits profonds sur une longue durée, l’extensibilité du système de contrôle, et si plusieurs conditions clés commencent à être réunies simultanément. Dans la réalité, la capacité d’attaque dépend au final de la convergence de ces conditions : l’essentiel est de savoir si ces exigences peuvent se regrouper pour former une trajectoire d’ingénierie fermée.

4.3 Les démonstrations publiques sont utiles à titre de référence, mais ne peuvent pas être le seul signal

Beaucoup de gens s’attendent naturellement à un certain « moment emblématique » : par exemple, une plateforme expérimentale démontre publiquement l’exécution d’un algorithme pertinent sur une courbe à petite échelle, et tout le monde considère alors que le risque devient réellement visible.

Un tel signal a bien une valeur de référence, mais il ne convient pas comme unique base de jugement. Du point de vue de l’évolution technique, une démonstration publique n’est souvent qu’un résultat, et non le tout premier changement. Ce qui est réellement plus important, c’est si les conditions de base mentionnées précédemment s’avèrent déjà progressivement réunies.

Pour l’industrie, l’approche la plus réaliste n’est pas d’attendre un moment spectaculaire, mais d’établir une habitude de suivi continu : observer si le matériel entre dans une nouvelle phase, si les ressources algorithmiques continuent de se comprimer, et si les capacités système passent de « améliorations dispersées » à « forme globale ». Plutôt que de demander « quand verra-t-on une démonstration », il vaut mieux se demander : avant de voir une démonstration, a-t-on déjà compris la direction des progrès techniques ?

5 Comment déterminer les progrès quantiques ?

5.1 Ce n’est pas « le problème du moment », mais il faut commencer à préparer dès maintenant

D’un point de vue de la réalité d’ingénierie, l’informatique quantique ne possède pas encore la capacité d’attaquer les systèmes de cryptomonnaies existants. Que ce soit en termes d’échelle matérielle, de contrôle des erreurs, ou de capacité à exécuter de manière stable des circuits profonds sur une longue durée, il existe encore un écart évident par rapport aux conditions supposées dans le papier.

Mais cela ne signifie pas que l’industrie puisse continuer à repousser indéfiniment ce problème. Par rapport au passé, un changement important est le suivant : les trajectoires techniques concernées sont devenues de plus en plus claires, et les estimations de ressources continuent de converger. Pour les systèmes de blockchain, ce n’est pas un point de temps précis qu’il faut surveiller, mais la question de savoir si assez de temps et d’espace ont déjà été réservés pour la migration future.

La mise à niveau de l’infrastructure cryptographique n’est généralement pas un simple remplacement logiciel. Elle implique des protocoles, des implémentations, une coordination de l’écosystème, la migration d’actifs et l’évolution des habitudes des utilisateurs ; sa durée se mesure souvent en années, pas en mois ou en trimestres. Sous cet angle, ce n’est pas un problème qui « explosera maintenant », mais c’est déjà une question qui doit entrer le plus tôt possible dans la planification.

5.2 Les algorithmes changeront, mais la conception du système de blockchain ne doit pas être renversée

Ce que l’informatique quantique impacte directement, ce sont les hypothèses cryptographiques de base sur lesquelles repose le système de blockchain, par exemple les schémas de signature basés sur les courbes elliptiques, plutôt que le problème que pose en soi le système de blockchain en tant que système de sécurité.

Cela signifie que de nombreux mécanismes de sécurité déjà prouvés efficaces aujourd’hui ne perdront pas de valeur à cause de l’arrivée de l’informatique quantique. Pour l’industrie de la blockchain et des actifs numériques, qu’il s’agisse de la gestion des clés, du calcul multipartite (MPC), de l’isolation matérielle (TEE), du contrôle des permissions, des mécanismes d’audit, ou encore de l’architecture de sécurité globale construite autour du système de comptes, de l’approbation des transactions, du contrôle des risques et de la gouvernance, il s’agit toujours de résoudre des problèmes réels tels que l’exposition des clés, les défaillances en point unique, les risques internes et les erreurs d’exécution. Ces problèmes ne disparaîtront pas avec l’évolution des primitives cryptographiques de base.

Par conséquent, une compréhension plus raisonnable ne consiste pas à dire « à l’ère quantique, il faut reconstruire l’ensemble du système de sécurité de la blockchain », mais plutôt : ce qui doit être mis à niveau en premier, ce sont les composants cryptographiques de base ; et ce qu’il faut conserver et renforcer, ce sont les principes de conception que le système de blockchain a déjà établis en matière de protection des clés, de séparation des permissions, d’isolation des risques et de contrôle de la gouvernance. L’essentiel n’est pas seulement de remplacer un algorithme de signature, mais de doter l’ensemble du système de la capacité de porter ce type de migration cryptographique.

5.3 Du choix de « quel algorithme » à « peut-on migrer de manière fluide »

La cryptographie post-quantique est désormais entrée dans une phase de standardisation et de mise en œuvre en ingénierie. Les premiers standards PQC pilotés par NIST ont été officiellement publiés en 2024 [12], mais différents schémas présentent encore des différences évidentes en termes de performances, de taille des signatures, de complexité d’implémentation et d’hypothèses de sécurité, et les pratiques d’ingénierie et les voies d’adoption par l’industrie continuent d’évoluer.

Dans ce contexte, plutôt que de s’engager trop tôt sur un algorithme précis, la question la plus importante est en train de changer : le système dispose-t-il d’une capacité de migration fluide ?

Cette capacité couvre plusieurs aspects : peut-on introduire de nouveaux schémas de signature sans affecter la continuité des activités ; peut-on prendre en charge un certain temps un mode hybride ; et lorsque les standards et les pratiques d’ingénierie continueront d’évoluer, pourra-t-on encore ajuster et assurer la compatibilité.

À long terme, ce dont l’industrie de la blockchain a vraiment besoin, ce n’est pas uniquement la capacité « d’adopter des algorithmes post-quantiques », mais la capacité « de faire face à l’évolution continue de la cryptographie ». La première constitue une phase de migration, tandis que la seconde représente une conception de système durable sur le long terme.

6 Conclusion : un signal technologique important

D’après la réalité d’ingénierie actuelle, l’informatique quantique n’est toujours pas suffisante pour constituer une menace pratique pour les systèmes de cryptomonnaies existants. Que ce soit en termes d’échelle matérielle, de contrôle des erreurs, ou encore de la capacité de tolérance aux fautes nécessaire à l’exécution stable de circuits profonds sur une longue durée, il existe encore un écart évident par rapport aux conditions supposées dans le papier. En d’autres termes, la CRQC n’est pas une technologie qui « finira forcément par se mettre en place naturellement une fois le temps venu » : sa réalisation dépend encore d’une série de défis d’ingénierie qui n’ont pas encore été complètement franchis.

Mais en même temps, ce problème ne peut plus être considéré comme une discussion abstraite réservée à un avenir lointain. En mars 2026, Google a clairement fixé sa propre ligne de temps de migration post-quantique à 2029 [8] ; l’NCSC britannique a indiqué 2028, 2031, 2035 comme trois jalons clés de migration [9] ; le G7 Cyber Expert Group, même s’il ne fixe pas de deadline réglementaire pour le système financier, considère également 2035 comme objectif de référence global pour l’ensemble de la migration, et recommande que les systèmes critiques achèvent autant que possible la migration entre 2030 et 2032 [10].

Par ailleurs, il est aussi nécessaire d’éviter les surinterprétations. D’après les informations publiques mainstream disponibles à ce jour, même les évaluations publiques plutôt audacieuses déplacent davantage la fenêtre de risque vers autour de 2030, plutôt que d’aboutir à un consensus selon lequel « la CRQC sera clairement mise en œuvre avant 2030 ». Une enquête d’experts menée par le Global Risk Institute en 2025 montre que l’apparition d’une CRQC dans les 10 prochaines années est « quite possible (28%–49%) », et qu’elle n’entrerait dans la catégorie « likely (51%–70%) » qu’au bout de 15 ans [11].

Ainsi, la signification la plus importante de ce livre blanc de Google ne réside pas dans l’annonce que l’attaque quantique est déjà arrivée, mais dans le fait qu’il rend ce problème, pour la première fois, suffisamment concret : on peut en discuter, on peut l’évaluer, et il faut commencer à s’y préparer. Pour l’industrie de la blockchain et des actifs numériques, 2030–2035 est une fenêtre clé qui mérite d’être prise au sérieux et pour laquelle il faut prévoir de l’espace pour la migration. Elle ne correspond peut-être pas à l’année précise où les attaques quantiques arriveront réellement, mais il est très probable qu’elle déterminera si, d’ici là, le secteur disposera encore de la marge nécessaire pour y faire face avec aisance.