Bitcoin et risque quantique : le CPO de StarkWare publie une solution sans modifier le protocole

Ce qu’il faut retenir :

• Avihu Levy, CPO de StarkWare et co-auteur du BIP-360, a publié un schéma de transactions Bitcoin résistant à l’algorithme de Shor.
• La solution fonctionne avec les règles actuelles de Bitcoin, sans softfork ni mise à jour du protocole.
• Chaque transaction quantique-safe coûte entre 75 et 150 $ en calcul GPU, pour un niveau de sécurité de 118 bits.

Avihu Levy, chief product officer de StarkWare et co-auteur du BIP-360, a publié mercredi un article de recherche accompagné d’une implémentation open source intitulée Quantum Safe Bitcoin (QSB). Sa proposition : permettre dès aujourd’hui des transactions Bitcoin résistantes aux attaques d’un ordinateur quantique, sans changer une seule ligne du protocole.

Le problème : ECDSA ne survivra pas à Shor

Le débat sur la menace quantique pour Bitcoin s’est intensifié ces dernières semaines. John Martinis, physicien lauréat du prix Nobel et architecte des ordinateurs quantiques de Google, a averti que Bitcoin pourrait être l’une des premières cibles concrètes d’attaques quantiques. Google a publié une étude montrant qu’un ordinateur quantique suffisamment puissant pourrait casser la cryptographie de Bitcoin en moins de neuf minutes.

Le risque est précis. Bitcoin repose sur ECDSA (Elliptic Curve Digital Signature Algorithm) sur la courbe secp256k1. L’algorithme de Shor, exécutable sur un ordinateur quantique suffisamment avancé, peut calculer le logarithme discret et donc dériver la clé privée à partir de la clé publique. Selon le courtier Bernstein, l’exposition est concentrée sur environ 1,7 million de BTC détenus dans des portefeuilles anciens dont les clés publiques sont exposées on-chain.

Aucune machine capable de mener cette attaque n’existe aujourd’hui. Martinis estime le délai entre cinq et dix ans, mais prévient que l’incertitude n’est pas une raison pour ne rien faire.

QSB : remplacer la preuve cryptographique par du hachage

La solution de Levy s’appuie sur les travaux de Robin Linus et son schéma Binohash, qui utilise des signatures de type Lamport intégrées dans Bitcoin Script. Binohash repose sur un puzzle de preuve de travail basé sur la taille des signatures ECDSA. Problème : un adversaire quantique pourrait résoudre ce puzzle en calculant le logarithme discret de la valeur r = 1.

QSB remplace ce mécanisme par un puzzle hash-to-signature. Le script hache une clé publique liée à la transaction via OP_RIPEMD160 et interprète le résultat de 20 octets comme une signature ECDSA encodée en DER. La probabilité qu’une chaîne aléatoire de 20 octets satisfasse les contraintes structurelles du format DER est d’environ 1 sur 70 000 milliards (2^-46). Cette preuve de travail repose sur la résistance aux pré-images de RIPEMD-160, pas sur la courbe elliptique. L’algorithme de Shor n’offre aucun avantage.

Le résultat : environ 118 bits de sécurité contre Shor (réduit à environ 59 bits sous l’algorithme de Grover, l’accélération quantique applicable aux fonctions de hachage). Par comparaison, une transaction Bitcoin standard offre 0 bit de sécurité face à Shor.

Pas de softfork, mais des contraintes réelles

L’aspect le plus notable de QSB est qu’il ne nécessite aucun changement de consensus. Le schéma opère dans les contraintes existantes du Script legacy de Bitcoin : 201 opcodes maximum et 10 000 octets de taille de script. Levy a testé la phase de “pinning” (ancrage de la transaction) sur 8 GPU Nvidia RTX PRO 6000 et trouvé une solution valide en environ six heures.

Le coût par transaction se situe entre 75 et 150 dollars en calcul GPU cloud, un montant que Levy compare au prix d’un billet d’avion. Le calcul est massivement parallélisable : plus on ajoute de GPU, plus le temps de résolution diminue.

Les limites sont claires. Les transactions QSB sont valides au niveau du consensus Bitcoin mais non standard : elles dépassent les politiques de relais par défaut et doivent être soumises directement à un pool de minage acceptant les transactions non standard, comme le service Slipstream de Marathon. Le schéma ne couvre pas encore le Lightning Network. L’assemblage complet et la diffusion on-chain n’ont pas été testés de bout en bout.

Eli Ben-Sasson, cofondateur et PDG de StarkWare, a soutenu publiquement le projet en déclarant que Bitcoin peut être quantique-safe dès aujourd’hui, sans modification du protocole. Eric Wall, figure connue des Taproot Wizards, a salué le travail en qualifiant les équipes de StarkWare de “meilleurs hackers de la planète”.

Ce qu’il faut surveiller

QSB est une preuve de concept, pas un produit fini. Levy le décrit comme une mesure de dernier recours, pas un remplacement de l’usage standard de Bitcoin. Pour les détenteurs de BTC, le conseil pratique reste le même : éviter la réutilisation d’adresses et surveiller l’arrivée du support post-quantique dans les portefeuilles grand public.

Les marchés estiment à environ 40 % la probabilité d’une mise à jour comme le BIP-360, visant à réduire le risque wallet, avant 2027. QSB démontre qu’une ligne de défense existe déjà dans les règles actuelles de Bitcoin. Le travail restant est de l’ingénierie, de l’adoption et du temps.