Attaques quantiques sur Bitcoin : comment se protéger ?

Transcript

1. Bitcoin Meetup Paris Montmartre, 15 octobre 2025 Attaques quantiques sur

   Bitcoin : comment se protéger ? Renaud Lifchitz Expert en cybersécurité (Enforcis)

2. Sommaire 1. Comprendre la problématique 2. Evaluer la menace 3.

   Protéger ses bitcoins 4. Le futur de la cryptographie 5. Conclusions « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 2

3. Comprendre la problématique « Attaques quantiques sur Bitcoin : comment

   se protéger ? » - Renaud Lifchitz 3

4. Menaces quantiques 2 familles d’attaques se précisent sur la cryptographie

   actuelle : ▪ Sur la cryptographie symétrique et les fonctions de hachage : ▪ L’algorithme quantique de Grover (https://en.wikipedia.org/wiki/Grover%27s_ algorithm) divise toutes les tailles de clé par 2 ! ▪ Fort heureusement il est démontré optimal donc impossible de faire mieux en général ▪ Sur la cryptographie asymétrique (à clé publique) : ▪ L’algorithme quantique de Shor (https://en.wikipedia.org/wiki/Shor%27s_algorithm) ou de proches variantes parviennent à casser quasiment tous nos algorithmes asymétriques (RSA, DSA, ECDSA, Diffie-Hellman, ElGamal…) Mais d’autres attaques pourraient encore être trouvées, des dizaines d’algorithmes quantiques ayant déjà été découverts : https://quantumalgorithmzoo.org/ « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 4

5. Menaces quantiques contre Bitcoin ? Bitcoin est potentiellement doublement menacé

   : ▪ il utilise de la cryptographie symétrique : SHA-256 ▪ il utilise de la cryptographie asymétrique : ECDSA (signature des transactions sous forme de courbes elliptiques) Qu’en est-il réellement ? « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 5

6. Evaluer la menace « Attaques quantiques sur Bitcoin : comment

   se protéger ? » - Renaud Lifchitz 6

7. Records conventionnels de cassages cryptographiques génériques ▪ symétrique : RC5,

   64 bits (Juillet 2002) ▪ asymétrique : RSA-250, 829 bits, 2700 heures-cores (Février 2020) ▪ RC4 considéré cassé ▪ Très peu de progrès sur AES (conception moderne) « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 7

8. « Attaques quantiques sur Bitcoin : comment se protéger ?

   » - Renaud Lifchitz 8

9. Exemple de l’inversion d’un hash (non-cryptographique) : CRC-8 Inversion de

   l’algorithme CRC-8 en pratique sur une puce quantique – « Reversing cryptographic primitives using quantum computing », Novembre 2018, Renaud Lifchitz : https://speakerdeck.com/rlifchitz/reversing-cryptographic-primitives-using-quantum-computing « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 9

10. Tentative de quantification de la menace sur la cryptographie asymétrique

    Avis de 22 experts sur les probabilités et horizons de temps - « Quantum Threat Timeline » (evolutionQ Inc. - Global Risk Institute) « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 10

11. Protocoles/systèmes asymétriques sévèrement menacés ▪ HTTPS ▪ Globalement tout protocole

    SSL/TLS ▪ VPN ▪ SSH ▪ PKI en entreprise (certificats) ▪ Papiers d’identités biométriques (carte d’identité, passeports, …) ▪ Cartes bancaires ▪ Blockchains ▪ … « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 11

12. Types d’adresses utilisés par Bitcoin Nom Description Exemple Encodage Standard

    Script Legacy Pay to Public Key Hash 1addresse base58 BIP 44 P2PKH Nested SegWit Pay to Script Hash - wrapped SegWit « encapsulé » dans P2SH 3addresse base58 BIP 49 P2SH-P2WPKH Native SegWit Pay to Witness Public Key Hash - SegWit natif bc1qaddresse bech32 BIP 84 P2WPKH Taproot Pay to Taproot bc1paddresse bech32m BIP 86 P2TR « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 12

13. Risques quantiques concrets Quels sont-ils concrètement ? Principalement 3 risques,

    du plus faible au plus important : 1) Attaques de “selfish mining” 2) Attaques “court terme” 3) Attaques “long terme” « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 13

14. Attaques de “selfish mining” Principes : ▪ Algorithme de Grover

    : accélération quadratique (faible) pour trouver des nonces valides ▪ Permettrait aux mineurs quantiques de surpasser les classiques et d’amplifier les stratégies de rétention et de réorganisation de blocs (blocs orphelins - “orphans”) ▪ Ultimement pourrait centraliser un peu le réseau Limitations : ▪ Donne un léger avantage mais ne permet pas de miner instantanément des blocs ▪ Ne casse pas la preuve de travail mais la rend moins fiable ▪ Affecte aussi les pools de minage mais statistiquement visible par elles 👉 Risque : faible « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 14

15. Attaques “court terme” Avec P2PKH : ▪ la clé publique

    est masquée (hachée) tant que les bitcoins associés à l’adresse ne sont pas partiellement dépensés ▪ dès qu’une transaction de dépense apparaît dans la mempool, la clé publique devien visible à tous les attaquants ▪ Les attaquants disposent d’une fenêtre de temps d’attaque pour casser la clé publique puis diffuser une transaction virant les fonds sur une adresse différente, avec des frais (une priorité) plus élevés : “transaction hijacking” 👉 Risque : faible à modéré « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 15

16. Attaques “long terme” Avec P2PK, P2MS (Pay To Multisig), P2TR

    : ▪ la clé publique est déjà visible on-chain pour toutes les transactions depuis leur création ▪ les clés publiques sont définitivement exposées et pour longtemps ▪ les attaquants ont tout leur temps pour casser ces clés et voler les adresses correspondantes ⚠⚠⚠ Une adresse P2PKH réutilisée devient vulnérable à des attaques long terme ! 👉 Risque : élevé « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 16

17. Quantité et répartition des UTXOs affectés - requête Google BigQuery

    WITH outs AS ( SELECT o.transaction_hash, o.index AS vout, o.value AS satoshis, o.script_hex AS script_hex FROM `bigquery-public-data.crypto_bitcoin.outputs` o ), spent AS ( SELECT i.spent_transaction_hash AS transaction_hash, i.spent_output_index AS vout FROM `bigquery-public-data.crypto_bitcoin.inputs` i WHERE i.spent_transaction_hash IS NOT NULL ), utxos AS ( SELECT o.* FROM outs o LEFT JOIN spent s ON o.transaction_hash = s.transaction_hash AND o.vout = s.vout WHERE s.transaction_hash IS NULL ), classified AS ( SELECT satoshis, CASE WHEN REGEXP_CONTAINS(script_hex, r'^(76a914)[0-9a-f]{40}(88ac)$') THEN 'p2pkh' WHEN REGEXP_CONTAINS(script_hex, r'^(a914)[0-9a-f]{40}(87)$') THEN 'p2sh' WHEN REGEXP_CONTAINS(script_hex, r'^(0014)[0-9a-f]{40}$') THEN 'p2wpkh' WHEN REGEXP_CONTAINS(script_hex, r'^(0020)[0-9a-f]{64}$') THEN 'p2wsh' WHEN REGEXP_CONTAINS(script_hex, r'^(5120)[0-9a-f]{64}$') THEN 'p2tr' WHEN REGEXP_CONTAINS(script_hex, r'^(21)[0-9a-f]{66}(ac)$') THEN 'p2pk_compressed' WHEN REGEXP_CONTAINS(script_hex, r'^(41)[0-9a-f]{130}(ac)$') THEN 'p2pk_uncompressed' WHEN REGEXP_CONTAINS(script_hex, r'^(5[1-8]).*(ae)$') THEN 'bare_multisig_like' ELSE 'other' END AS script_type FROM utxos ) SELECT script_type, COUNT(*) AS utxo_count, ROUND(SUM(satoshis) / 1e8, 2) AS total_btc FROM classified GROUP BY script_type ORDER BY total_btc DESC; « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 17

18. Quantité et répartition des UTXOs affectés - résultats au 22/07/2025

    Type de script Nombre d'UTXO % d'UTXO Total BTC ▼ % de BTC p2wpkh 46 753 777 14,45% 6685181,76 33,58% p2pkh 45 519 707 14,06% 6037760,24 30,33% p2sh 13 097 152 4,05% 4087803,82 20,53% p2pk_uncompressed 34 828 0,01% 1711983,02 8,60% p2wsh 2 207 489 0,68% 1217541,66 6,12% p2tr 58 058 643 17,94% 159265,59 0,80% p2pk_compressed 10 286 0,00% 6536,64 0,03% other 155 608 392 48,08% 2659,74 0,01% bare_multisig_like 2 368 456 0,73% 69,83 0,00% « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 18

19. Indicateurs « live » Project Eleven « Bitcoin Risq List

    » au 13/10/2025 - https://www.projecteleven.com/bitcoin-risq-list « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 19

20. Les défis/challenges Bitcoin pour voir mesurer et anticiper la menace

    ▪ Bitcoin Crypto Puzzles : https://privatekeys.pw/puzzles/ (1000 BTC) ▪ Conférence “Quantum Bitcoin Summit” : ▪ Article : https://bitcoinmagazine.com/technical/the-quantum-bitcoin-summit-a- grounded-look-at-the-issues ▪ Rediffusion : https://www.youtube.com/watch?v=GeUdu4hrBPI « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 20

21. Protéger ses bitcoins « Attaques quantiques sur Bitcoin : comment

    se protéger ? » - Renaud Lifchitz 21

22. Comment protéger dès maintenant ses bitcoins ? ▪ Ne pas

    exposer les clés publiques de ses adresses ▪ En versions hachés, exposer des hashs robustes (en général les hashs utilisés sont suffisamment robustes) ▪ Une bonne pratique est donc d’utiliser des adresses Bitcoin “Native Segwit” (bc1q), couplée avec la bonne pratique de vie privée qui consiste à ne pas réutiliser ses adresses ▪ Note : Bien que Taproot expose des clés publiques, il est possible de créer des conditions de dépense cachées et post-quantiques sur Taproot, mais ce n’est pas encore standard donc pas pratique « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 22

23. Dilemne de la migration des adresses dormantes Que faut-il faire

    des très nombreux bitcoins vulnérables aux attaques quantiques ? ▪ Rien, au risque de voir jusqu’à 50% des bitcoins potentiellement volés ? ▪ Brûler les adresses dormantes par fork ? ▪ Comme pour Ethereum, un sauvetage par une DAO “white hat” ? Mais ensuite comment faire des claims ? 👉 Il n’y a aucune solution parfaite, mais 6 approches principales sont envisagées « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 23

24. Approches envisagées (1/2) Approche Description Avantages Inconvénients Soutiens Migration volontaire

    vers des adresses/scripts post- quantiques (PQ) Les utilisateurs dépensent manuellement les UTXOs vulnérables vers de nouveaux outputs résistants (par ex. schémas PQ NIST). Peut utiliser des types existants comme P2PKH/P2SH pour une résistance partielle avant le déploiement PQ complet. Flexible et pilotée par l’utilisateur ; changements réseau minimaux immédiats ; exploite Taproot pour masquer les conditions PQ et optimiser l’efficacité. Permet une préparation sans panique ; maintient l’efficacité pour les usages normaux via des chemins primaires. Dépend de la sensibilisation et de l’action des utilisateurs ; les pièces inactives/perdues restent vulnérables ; signatures PQ plus grandes (40-600x plus volumineuses) augmentent les coûts et compliquent les portefeuilles matériels/multisig. Risques d’attaques JIT pendant la dépense si non quantique à l’avance. Matt Corallo (a promu Taproot pour la résistance quantique) ; Tim Ruffing (Blockstream, a démontré la sécurité de fallback) ; Kiara Bickers (Blockstream, prône une migration graduelle). Ils mettent l’accent sur des mises à niveau fluides en utilisant l’infrastructure existante pour éviter les disruptions. Migration Forcée avec Délai (par ex., QRAMP, BIP de Migration Post-Quantique) Exigence réseau-wide de migrer vers des outputs PQ d’ici une date butoir (par ex., 4-5 ans post-activation) ; les UTXOs non migrés deviennent non dépensables ensuite. Implique des phases de soft/ hard forks : introduire PQ, fixer le délai, geler les legacy. Fournit un calendrier clair et une certitude ; incite aux mises à niveau ; assure la sécurité complète de l’écosystème avant la menace quantique. Réduit l’offre si des pièces sont brûlées, potentiellement bénéfique pour les détenteurs conformément aux vues de Satoshi sur les pièces perdues. Controversé car il “confisque” les fonds non migrés ; risques de schismes (par ex., comme les forks SegWit) ; congestion près du délai. Mine la souveraineté pour les utilisateurs inattentifs. Agustin Cruz (proposeur de QRAMP, insiste sur le réalisme) ; Jameson Lopp (auteur du BIP, argue pour des délais afin d’assurer la sécurité et les incitations). Ils le voient comme nécessaire pour prévenir les vols et maintenir la confiance. « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 24

25. Approches envisagées (2/2) Approche Description Avantages Inconvénients Soutiens Protocole Commit-Delay-Reveal

    (CDR) & Variantes (par ex., Lifted FawkesCoin) Processus en trois phases : commettre un hash de clés via OP_RETURN, délai (par ex., 6 mois) pour prévenir les reorgs, révéler et signer avec une clé PQ. Les variantes utilisent des preuves zero-knowledge pour bootstraper sans fonds PQ initiaux. Sécurisé même post-rupture ECDSA ; protège contre les hijackings ; compatible soft fork ; s’étend aux portefeuilles HD/ multisig. Évite les délais, priorisant le conservatisme. Délai lent réduit la liquidité ; nécessite des fonds PQ upfront (atténué dans les variantes) ; complexe pour les utilisateurs ; nécessite deux forks. Ne peut migrer les clés perdues. Adam Back (proposeur de variante) ; Johnson Lau (référencé dans le travail de Back) ; Tim Ruffing (variante indépendante) ; SIZ+18 (original) ; SW23 (Lifted FawkesCoin). Ils se concentrent sur des transitions sécurisées sans forcer les brûlages. Brûlage/Gel des UTXOs Vulnérables (via Soft Fork) Invalider la dépense depuis des scripts vulnérables après une période de grâce (1-4 ans) ; échelonnée par niveau de risque. Épure les UTXOs dust. Empêche les vols/redistributions ; nettoie l’ensemble UTXO ; soutient les frais via les migrations ; aligne avec “not your keys, not your coins”. Incite aux mises à niveau ; réduit les dommages à l’écosystème. Vu comme un vol sans consentement ; viole la compatibilité future ; potentiels forks. Nui aux détenteurs négligents ou aux pièces perdues. Pieter Wuille (premier avocat du verrouillage) ; Jameson Lopp (théorie des jeux détaillée pour le brûlage). Ils arguent qu’il défend les droits de propriété en stoppant le vol élitiste. Limitation de Taux d’Accès (par ex., Stratégie Hourglass) Soft fork pour limiter les dépenses vulnérables (par ex., 1 par bloc) ; empêche les nouveaux outputs vulnérables ; permet une “exploitation” quantique graduelle. Incitations économiques pour les mineurs ; évite les brûlages abrupts ; stabilise sur des décennies ; étend les revenus post- subsidy. Équilibre les philosophies. Permet certains vols ; risques de centralisation dans l’application ; paramètres complexes. Peut ne pas dissuader les attaquants déterminés. Hunter Beast (proposeur) ; John Lilic (“100 Year Hourglass”). Ils favorisent des solutions pilotées par le marché plutôt que la confiscation. Pas d’Intervention (Statu Quo/ Permettre la Récupération Quantique) Maintenir les règles ; laisser les entités quantiques réclamer les UTXOs vulnérables comme “mining”. Défend “code is law” et l’immutabilité ; punit la négligence ; pas de changements nécessaires. Aligne avec la souveraineté auto. Permet un transfert de richesse injuste vers les élites (par ex., États-nations) ; érode la confiance ; cause des dumps/inflation. Désincite les mises à niveau. Paolo Ardoino (via Hunter Beast, soutient l’inflation transitoire) ; Hunter Beast (contre les brûlages). Ils le voient comme neutre et philosophiquement pur. « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 25

26. Le futur de la cryptographie « Attaques quantiques sur Bitcoin

    : comment se protéger ? » - Renaud Lifchitz 26

27. Cryptographie post-quantique Deux approches fonctionnent dès aujourd’hui : ▪ Doublement

    des tailles de clés symétriques (y compris des algorithmes de hachage : SHA-128 ➔ SHA-256), 256 bits semblant être un minimum ou ▪ Usage de la cryptographique quantique (ne pas confondre avec la cryptographie post- quantique !) « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 27

28. Cryptographie post-quantique – familles d’algorithme ▪ Evénement quasi-annuel à propos

    de la cryptographie post-quantique : ▪ Conférence PQCrypto depuis 2006, https://pqcrypto.org/conferences.html Actuellement 6 principales approches envisagées par les chercheurs : ▪ « Lattice-based cryptography » (quelques doutes actuellement) ▪ « Multivariate cryptography » ▪ « Hash-based cryptography » ▪ « Code-based cryptography » ▪ « Supersingular Elliptic Curve Isogeny cryptography » ▪ « Symmetric Key Quantum Resistance » « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 28

29. Le futur de la cryptographie sur Bitcoin ? ▪ SPHINCS+

    (NIST) : algorithme de signature non basé sur de la cryptographie asymétrique mais sur des hashs cryptographiques (symétriques), non vulnérable à des algorithmes quantiques de type Shor ▪ composants : signatures Witnernitz (WOTS+), signature FORS, sous-arbres XMSS ▪ inconvénients : signatures plus grandes (plus de taille occupée sur la blockchain : x40-600), impossibilité des wallets hiérarchiques (“HD wallets”- BIP32) ▪ plus d’informations : ▪ https://insider.btcpp.dev/p/sphincs ▪ https://eprint.iacr.org/2023/411.pdf « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 29

30. Conclusions « Attaques quantiques sur Bitcoin : comment se protéger

    ? » - Renaud Lifchitz 30

31. Conclusion sur les ordinateurs quantiques ▪ La menace sur la

    cryptographie symétrique est surmontable ▪ La menace sur la cryptographie asymétrique est dramatique mais encore assez lointaine ▪ Différencier ordinateur quantique (potentiellement limité) et ordinateur quantique universel ▪ Différencier qubits physiques et logiques (adaptés aux implémentations) ▪ Le principal challenge est la profondeur des algorithmes quantiques, donc la qualité et stabilité des qubits, pas leur nombre (aujourd’hui une opération ≈ 1% d’erreur) « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 31

32. Conclusion sur la cryptographie post-quantique ▪ Domaine de recherche toujours

    très actif ▪ On manque de méthodes et d’outils pour savoir quels sont les algorithmes résistants ou non (basé sur des hypothèses et non des certitudes) ▪ Des implémentations supposées résistantes existent mais ne couvrent pas encore tous nos cas d’usages quotidiens ▪ Course contre la montre… ▪ Problématique des brevets logiciels qui pourraient freiner l’adoption et la sécurisation de tous ▪ La transition sera très longue ▪ Il est nécessaire aujourd’hui de commencer l’inventaire dans les logiciels des composants cryptographiques (algorithmes et tailles de clés utilisés) pour prioriser les chantiers de migration à venir (les principales banques le font déjà !) « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 32

33. Conclusion ▪ La menace quantique : ▪ n’est pas immédiate

    ▪ peut être anticipée en déplaçant tous ses bitcoins en cold storage vers des addresses adéquates ▪ n’est pas la seule (générateurs aléatoires originels, notamment pré-BIP39) Retrouvez moi sur Nostr : [email protected] 👉 Questions & discussion ! « Attaques quantiques sur Bitcoin : comment se protéger ? » - Renaud Lifchitz 33