a16z Rapport important : les vulnérabilités de code sont plus mortelles que l'informatique quantique, ne laissez pas la panique vous détourner

a16z Crypto souligne que la menace de l’informatique quantique est exagérée, et que la probabilité d’apparition d’un CRQC (ordinateur quantique lié à la cryptographie) avant 2030 est extrêmement faible. La signature numérique et zkSNARK ne sont pas vulnérables aux attaques de type « collecte puis déchiffrement », et un changement prématuré pourrait en réalité introduire des risques. La menace actuelle réside dans les vulnérabilités du code et la complexité de gouvernance ; il est conseillé de privilégier l’audit et les tests plutôt que des mises à niveau précipitées.

a16z réfute l’idée d’un CRQC avant 2030

Dans un article publié sur leur compte officiel, a16z Crypto indique que l’on surestime souvent la menace de l’informatique quantique pour la cryptographie, et que la probabilité qu’un ordinateur quantique capable de briser la cryptographie moderne apparaisse avant 2030 est très faible. Un « ordinateur quantique à signification cryptographique » désigne un ordinateur tolérant aux fautes et capable de corriger ses erreurs, avec un algorithme de Shor à une échelle suffisante pour attaquer la cryptographie à courbe elliptique ou RSA en un temps raisonnable.

Selon une interprétation raisonnable des jalons publics et des ressources estimées, nous sommes encore très loin de pouvoir fabriquer ce type d’ordinateur quantique. Toutes les architectures existantes — ions piégés, qubits supraconducteurs et systèmes d’atomes neutres — ne peuvent pas atteindre des dizaines de milliers, voire des millions, de qubits physiques. Les limitations ne concernent pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité des qubits et la profondeur des circuits de correction d’erreurs nécessaires pour exécuter des algorithmes quantiques complexes.

Certains systèmes disposent déjà de plus de 1 000 qubits physiques, mais ce chiffre est très trompeur. Ces systèmes manquent de la connectivité et de la fidélité des portes nécessaires pour effectuer des calculs liés à la cryptographie. La preuve que la correction d’erreurs quantiques est réalisable à une échelle suffisante pour la cryptanalyse reste à faire. En résumé : à moins d’augmenter le nombre de qubits et leur fidélité de plusieurs ordres de grandeur, un ordinateur quantique à signification cryptographique reste hors de portée.

Les trois principales idées fausses sur la panique quantique

Confusion entre avantage quantique : La « démonstration d’avantage quantique » concerne des tâches conçues artificiellement, pas le décryptage réel

Mauvaise interprétation des annealeurs quantiques : Certains prétendent qu’ils disposent de milliers de qubits, alors qu’il s’agit d’annealeurs, pas de machines exécutant l’algorithme de Shor

Abus des qubits logiques : Certaines entreprises prétendent avoir des « qubits logiques » mais utilisent un codage à distance 2, qui ne détecte pas les erreurs, donc ne permet pas de correction

L’attaque HNDL ne s’applique pas aux signatures et zkSNARK

L’article indique que les schémas de signatures numériques courants et zkSNARK, ainsi que d’autres systèmes à connaissance zéro, ne sont pas facilement vulnérables à une attaque de type « collecte puis déchiffrement » quantique. L’attaque HNDL consiste à quoter un adversaire qui stocke le trafic chiffré aujourd’hui, puis le déchiffre lorsque des ordinateurs quantiques à signification cryptographique seront disponibles. Cette attaque représente une menace réelle pour la cryptographie, c’est pourquoi la transition vers des techniques cryptographiques résistantes aux quantiques doit commencer dès aujourd’hui — du moins pour ceux qui ont besoin de confidentialité pendant 10 à 50 ans ou plus.

Cependant, toutes les signatures numériques sur blockchain, qui dépendent de la cryptographie asymétrique, ne sont pas vulnérables à cette attaque. En d’autres termes, si un ordinateur quantique à signification cryptographique apparaît, il deviendra possible de falsifier des signatures à partir de ce moment-là, mais les signatures passées, générées avant l’apparition de CRQC, ne peuvent pas être falsifiées, car elles ne « cachent » pas de secret comme un message chiffré. Tant que vous savez que la signature numérique a été créée avant l’apparition de CRQC, elle ne peut pas être falsifiée. Cela réduit l’urgence de faire la transition vers des signatures post-quantiques par rapport à celle vers des cryptographies résistantes aux quantiques.

zkSNARK (preuves à connaissance zéro succinctes et non interactives) est essentiel pour la scalabilité et la confidentialité à long terme de la blockchain, et sa situation est similaire à celle des signatures. Bien que zkSNARK utilise la cryptographie à courbe elliptique, ses propriétés à connaissance zéro sont post-quantiques sécurisées. La propriété à connaissance zéro garantit qu’aucune information sur le témoin secret n’est révélée lors de la preuve — même à un adversaire quantique — empêchant toute fuite d’informations confidentielles qui pourrait être collectée aujourd’hui pour déchiffrement ultérieur.

Par conséquent, zkSNARK ne sera pas vulnérable à une attaque de type « collecte puis déchiffrement ». Tout comme les signatures non post-quantiques d’aujourd’hui sont considérées comme sûres, toute preuve zkSNARK générée avant l’apparition d’un ordinateur quantique à signification cryptographique est fiable. Ce n’est qu’après l’émergence d’un CRQC que des attaquants pourraient produire des preuves fausses convaincantes. La compréhension de cette nuance technique est essentielle pour saisir la véritable nature de la menace quantique.

Les trois coûts et risques d’une migration prématurée

Pousser trop tôt la transition des blockchains vers des solutions résistantes aux quantiques pourrait entraîner une baisse de performance, des défauts d’ingénierie et des vulnérabilités potentielles. Le coût en performance des signatures post-quantiques est très élevé. La taille d’une signature basée sur le hachage est de 7-8 Ko, alors qu’une signature elliptique moderne ne fait que 64 octets, soit environ 100 fois plus petite. Les schémas à base de code, comme ML-DSA, produisent des signatures de 2,4 à 4,6 Ko, ce qui reste 40 à 70 fois plus grand que les signatures actuelles.

Que signifie cette augmentation de taille pour la blockchain ? Des signatures plus volumineuses entraînent des coûts de transaction plus élevés, une propagation plus lente des blocs et des coûts de stockage accrus pour les nœuds. Sur une blockchain déjà confrontée à des défis d’évolutivité, comme Bitcoin, passer à des signatures post-quantiques pourrait aggraver ces problèmes de plusieurs ordres de grandeur. De plus, les solutions de signatures post-quantiques sont plus difficiles à sécuriser que celles basées sur la courbe elliptique, car ML-DSA comporte davantage de vulnérabilités et une logique de rejet plus complexe nécessitant une protection par canaux auxiliaires.

Les leçons historiques sont également alarmantes. Rainbow, une signature basée sur MQ, et SIKE/SIDH, une cryptographie basée sur l’homomorphie, ont été cassées par des ordinateurs classiques lors de la phase avancée de normalisation par le NIST. Cela montre que la science fonctionne comme prévu, mais aussi que des normalisations et déploiements prématurés peuvent avoir des effets contre-productifs. Les défis spécifiques à la blockchain rendent une migration prématurée particulièrement risquée, notamment en raison de ses exigences particulières en matière de signatures, comme la capacité à agréger rapidement un grand nombre de signatures.

Les sept recommandations de a16z : une approche prudente face à la menace quantique

a16z insiste sur le fait que, par rapport aux risques encore incertains de l’informatique quantique, les défis plus immédiats pour Bitcoin, Ethereum et autres blockchains publiques concernent la coordination pour la mise à niveau des protocoles, la gouvernance et la correction des vulnérabilités du code. Il est conseillé aux développeurs de planifier une transition résistante aux quantiques en évaluant raisonnablement le calendrier, plutôt que de se précipiter. Par ailleurs, dans un avenir proche, les vulnérabilités classiques telles que les défauts de code, les attaques par canaux auxiliaires ou l’injection de fautes restent plus prioritaires que la menace quantique, et il faut concentrer les efforts sur l’audit, les tests fuzz et la vérification formelle.

Résumé des sept recommandations clés de a16z

Déployer immédiatement une cryptographie hybride : pour les scénarios où la confidentialité à long terme est critique

Utiliser la signature basée sur le hachage : dans les cas à faible fréquence et tolérant une taille plus grande, comme les mises à jour logicielles

Planifier prudemment la transition blockchain : sans précipitation, mais en commençant dès maintenant à élaborer une feuille de route

Prioriser les chaînes privées : si la performance le permet, pour une transition anticipée

Mettre en œuvre en priorité la sécurité : l’audit et les tests étant plus urgents que la résistance quantique

Financer la recherche quantique : pour éviter que des adversaires ne prennent une avance technologique

Adopter une approche rationnelle face aux annonces : considérer les rapports d’avancement comme des jalons, pas comme des déclencheurs d’action immédiate

Les développeurs de blockchain devraient suivre l’exemple de la communauté Web PKI en adoptant une approche prudente pour déployer les signatures résistantes aux quantiques. Cela favorisera l’amélioration continue des solutions post-quantiques en termes de performance et de sécurité. La planification dès maintenant par la communauté Bitcoin est particulièrement cruciale, compte tenu de la gouvernance lente et des nombreux adresses de grande valeur, potentiellement abandonnées ou vulnérables aux attaques quantiques.