Bitcoin : l’ANSSI impose le post-quantique face à 6 millions de BTC exposés

Updated on Juin 22, 2026 at 2:47 pm UTC by · 5 mins read
an image

L’ANSSI fixe une échéance pour le chiffrement post-quantique d’ici 2030, alors que 6,04 millions de Bitcoin sont jugés vulnérables selon Glassnode.

Dans l’actualité Bitcoin du jour, l’agence française de cybersécurité, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), a annoncé lors de la conférence annuelle France Quantum qu’elle cesserait de certifier les produits de sécurité dépourvus de chiffrement résistant au quantique à partir de 2027. Une transition complète pour les entreprises est fixée à 2030, une obligation qui s’applique aux agences gouvernementales françaises et aux opérateurs d’infrastructures critiques. Cette décision intervient alors que le rapport de mai 2026 de Glassnode identifie 6,04 millions de BTC, soit environ 30,2 % de l’offre émise, comme ayant des clés publiques visibles sur la blockchain.

Il ne s’agit pas d’une simple règle de passation de marchés européens. C’est l’échéance gouvernementale la plus concrète à ce jour pour l’abandon de la cryptographie classique à clé publique. Elle arrive à un moment où la communauté de sécurité Bitcoin quantifie activement la part de l’offre du réseau structurellement exposée à un ordinateur quantique fonctionnel.

 

Sécurité Bitcoin : Analyse de Glassnode sur l’exposition des 6,04 millions de BTC

Glassnode divise l’offre exposée en deux catégories distinctes. La première comprend 1,92 million de BTC (~9,6 % de l’offre), qualifiés de structurellement exposés. Il s’agit de sorties (outputs) qui révèlent la clé publique par conception, notamment les récompenses de minage de l’ère Satoshi (P2PK), les scripts multisig bruts et les sorties Taproot (P2TR). La seconde catégorie regroupe 4,12 millions de BTC (~20,6 %) classés comme opérationnellement exposés, où les clés publiques sont devenues visibles suite à la réutilisation d’adresses, à des dépenses partielles d’UTXO ou à des pratiques de garde (custody).

L’accent analytique du rapport est notable : Glassnode souligne que le risque principal réside dans les pratiques de stockage actuelles plutôt que dans les pièces anciennes. Les plateformes d’échange représentent environ 1,63 à 1,66 million de BTC de l’ensemble opérationnellement exposé. En revanche, les avoirs souverains en BTC des États-Unis, du Royaume-Uni et du Salvador ne présenteraient aucune exposition quantique, ce qui suggère l’utilisation de types d’UTXO non exposés. Les 13,99 millions de BTC (~69,8 %) sans exposition de clé publique au repos sont considérés comme sûrs selon le cadre de Glassnode.

Le mécanisme de menace est clairement défini. La signature des transactions Bitcoin repose sur l’ECDSA (Elliptic Curve Digital Signature Algorithm) sur la courbe secp256k1, dont la sécurité est basée sur le problème du logarithme discret sur les courbes elliptiques. Un ordinateur quantique tolérant aux fautes exécutant l’algorithme de Shor pourrait récupérer une clé privée à partir de n’importe quelle clé publique déjà visible sur la chaîne, signifiant que les 6,04 millions de BTC aux clés exposées seraient directement menacés dès l’arrivée du « Q-Day ». Les sorties de type « hash-of-pubkey », telles que le P2PKH, bénéficient d’une couche de protection supplémentaire jusqu’à ce qu’elles soient dépensées.

À DÉCOUVRIR : Explication des plans de Hard Fork d’Ethereum pour la sécurité quantique

Cryptographie Post-Quantique : Le mandat de l’ANSSI et l’accélération du calendrier

Le chef de cabinet de l’ANSSI, Samih Souissi, s’exprimant lors de la conférence France Quantum, a formulé ce changement de politique dans des termes qui dépassent largement les normes techniques. « Ce n’est pas seulement une question technique. C’est une question de gouvernance, de planification industrielle, de réglementation et de souveraineté », a déclaré Souissi.

La feuille de route de l’agence demande aux organisations de recenser leurs données sensibles d’ici fin 2026, de cartographier les systèmes concernés d’ici fin 2027 et d’achever la migration vers la cryptographie post-quantique (PQC) d’ici 2030.

Ce calendrier s’aligne sur les signaux d’autres grandes institutions, voire les accélère dans certains cas. En mars 2026, Google a fixé une échéance interne à 2029 pour la transition de ses systèmes vers la PQC. La société de sécurité quantique Project Eleven a estimé en mai 2026 qu’un ordinateur quantique capable de briser la cryptographie pourrait voir le jour dès 2030.

 

Le NIST a indiqué son intention de déprécier les schémas classiques à clé publique, y compris RSA et ECC, vers 2030 et de mettre fin à leur utilisation vers 2035, des échéances que les grands éditeurs de logiciels intègrent désormais dans les feuilles de route des modules de sécurité matériels (HSM) et des systèmes d’exploitation.

Des recherches académiques citées lors de DEF CON 33 suggèrent que seulement 1 754 qubits logiques pourraient, selon des hypothèses de mise à l’échelle optimistes, suffire à attaquer les blockchains basées sur secp256k1, bien que la plupart des experts situent la fenêtre de menace réelle entre dix et vingt ans.

Des travaux quantitatifs antérieurs situaient le chiffre des BTC exposés dans une fourchette large. Une étude de Deloitte estimait à environ 4 millions le nombre de BTC détenus dans des adresses P2PK ou P2PKH réutilisées, tandis qu’un document de Chaincode Labs de 2025 estimait entre 4 et 10 millions de BTC répartis sur des catégories de vulnérabilité plus larges. Le chiffre de 6,04 millions avancé par Glassnode s’inscrit dans cette fourchette et applique des critères plus étroits et plus précisément définis.

Share:
Exit mobile version