Comment fonctionnent les signatures de cercle Monero
Comment fonctionnent les signatures de cercle de Monero
À chaque confirmation d'une transaction Bitcoin, l'adresse de l'expéditeur, celle du destinataire et le montant exact sont gravés à jamais dans un registre public que n'importe qui peut consulter. Monero a été conçu pour casser ce modèle, et la signature de cercle est la brique qui fait le gros du travail côté expéditeur. Depuis l'entrée en vigueur des règles réseau de 2025, chaque transaction Monero dissimule le véritable émetteur parmi 16 dépensiers possibles — une taille de cercle fixe, imposée à tous les utilisateurs depuis le hard fork d'août 2022. Cette uniformité n'est pas un détail : c'est tout l'enjeu. Quand vous acquérez des XMR via un service sans journalisation comme MoneroSwapper, les pièces héritent automatiquement de cette protection, sans aucun réglage à activer de votre côté.
Ce guide explique ce qu'est réellement une signature de cercle, comment Monero en construit une à chaque dépense, pourquoi l'image de clé empêche la double dépense sans vous démasquer, et comment la future mise à niveau FCMP++ compte faire passer l'ensemble d'anonymat de 16 à la totalité de la blockchain. Aucune base en cryptographie n'est requise — il suffit d'accepter de suivre la façon dont les pièces s'emboîtent.
Pourquoi la confidentialité de l'expéditeur est le vrai problème
Masquer le montant d'une transaction est relativement simple avec les mathématiques modernes. Cacher qui paie qui est bien plus ardu, car une blockchain doit permettre à tout le monde de vérifier que les pièces dépensées sont réelles et n'ont pas déjà été dépensées — sans arbitre de confiance. Monero résout ce casse-tête avec trois couches indépendantes qui agissent de concert :
- Les adresses furtives cachent le destinataire. Chaque paiement arrive sur une adresse à usage unique, dérivée à la volée sur la chaîne, si bien que l'adresse publique du destinataire n'apparaît jamais dans le registre.
- RingCT cache le montant. Les transactions confidentielles enveloppent la valeur dans un engagement cryptographique, dont la validité est démontrée par des preuves d'intervalle plutôt que par un nombre lisible.
- Les signatures de cercle cachent l'expéditeur. C'est la couche qui rend ambigu le fait de savoir quelle sortie passée est réellement dépensée.
Retirez l'une de ces couches et les deux autres fuient. Si l'expéditeur était visible, connaître l'adresse furtive du destinataire suffirait à reconstituer le graphe des paiements. Voilà pourquoi Monero traite les trois comme obligatoires et non comme des options : le résultat, c'est la fongibilité — cette propriété qui fait que chaque XMR est interchangeable avec n'importe quel autre, parce qu'aucun ne traîne un historique traçable.
Ce qu'est vraiment une signature de cercle
Le concept est antérieur à Monero. Formalisée pour la première fois par Rivest, Shamir et Tauman en 2001, une signature de cercle permet à un membre d'un groupe de signer un message de telle sorte que n'importe quel vérificateur puisse confirmer « quelqu'un dans ce groupe a signé », sans rien apprendre sur lequel des membres l'a fait. Pas de chef de groupe, pas de cérémonie d'initialisation, et aucun moyen de lever l'ambiguïté après coup — le signataire forme « spontanément » un groupe ad hoc à partir de clés publiques existantes.
Monero adapte cette idée à la dépense. Lorsque vous dépensez une sortie (un fragment de XMR reçu plus tôt), votre portefeuille ne la désigne pas directement. Il assemble plutôt un cercle : votre sortie réelle, plus 15 leurres puisés parmi les sorties passées d'autres utilisateurs sur la blockchain. La signature prouve que l'une de ces 16 sorties est bien la vôtre à dépenser, mais un observateur est incapable de dire laquelle.
Les leurres et la façon dont ils sont choisis
Les 15 leurres ne sont pas tirés au hasard. S'ils l'étaient de façon uniforme sur tout l'historique de la chaîne, la sortie réelle — presque toujours récente — ressortirait statistiquement. Le portefeuille Monero échantillonne plutôt les leurres selon une distribution gamma calibrée pour imiter le comportement de dépense réel, qui privilégie les sorties récemment créées à peu près au rythme où les gens les dépensent effectivement. Les chercheurs ont éprouvé ce mécanisme de sélection à de multiples reprises, et le Monero Research Lab l'a affiné plusieurs fois pour fermer les heuristiques fondées sur le minutage.
Comme chaque portefeuille utilise le même algorithme et la même taille de cercle de 16, votre transaction présente une structure rigoureusement identique à celle de tout le monde. L'uniformité est ici une fonctionnalité de confidentialité : un élément atypique se suit à la trace sans peine, mais un membre d'une foule parfaitement homogène, non.
L'image de clé : bloquer la double dépense sans révéler l'expéditeur
Voici l'astuce. Si un vérificateur ne peut pas dire quelle sortie vous dépensez, comment le réseau vous empêche-t-il de dépenser deux fois la même ? La réponse tient en deux mots : l'image de clé — une étiquette cryptographique unique, dérivée de manière déterministe de la clé privée à usage unique de votre sortie.
Chaque sortie ne peut produire qu'une seule image de clé valide, et cette image ne révèle rien sur le membre du cercle qui l'a générée. Quand votre transaction est diffusée, chaque nœud enregistre l'image de clé. Si la même image réapparaît un jour, le réseau rejette la seconde transaction comme une double dépense. Le système obtient donc la garantie d'intégrité d'un registre UTXO tout en préservant l'ambiguïté de l'expéditeur : l'image de clé est reliable à elle-même, mais pas à votre identité.
CLSAG : le schéma de signature qu'utilise Monero aujourd'hui
L'algorithme que Monero fait tourner concrètement, c'est CLSAG — Concise Linkable Spontaneous Anonymous Group signatures. Il a remplacé l'ancienne construction MLSAG lors du hard fork d'octobre 2020. La mise à niveau n'avait rien de cosmétique : CLSAG a réduit la taille des signatures d'environ 25 % et raboté le temps de vérification de 10 à 20 %, ce qui se traduit par des transactions plus petites, des frais plus bas et une charge allégée pour chaque nœud qui valide la chaîne.
Le terme « Linkable » (reliable) renvoie au comportement de l'image de clé décrit ci-dessus ; « Spontaneous » et « Anonymous Group » capturent le cercle ad hoc et sans chef. Combiné à RingCT pour les montants et à Bulletproofs+ pour des preuves d'intervalle compactes (activées lors du même fork d'août 2022 qui a figé la taille du cercle à 16), CLSAG est ce qui rend une transaction Monero moderne à la fois privée et légère.
Construire une signature de cercle, étape par étape
Il est utile de visualiser la séquence que votre portefeuille déroule quand vous appuyez sur « envoyer ». La cryptographie est sophistiquée, mais le déroulé est limpide :
- Sélectionner la sortie réelle. Votre portefeuille repère une sortie que vous contrôlez et dont vous détenez la clé de dépense, assez grande pour couvrir le paiement et les frais.
- Rassembler 15 leurres. À l'aide de l'échantillonneur à distribution gamma, le portefeuille choisit 15 autres sorties de la blockchain pour les placer aux côtés de la vôtre dans le cercle.
- Calculer l'image de clé. Dérivée de la clé privée de la sortie réelle, cette étiquette permettra au réseau de détecter toute future double dépense de la même sortie.
- Construire la signature CLSAG. Le portefeuille forge une signature unique sur l'ensemble du cercle, valide uniquement parce que vous détenez la clé de l'un des membres — sans désigner lequel.
- Joindre les engagements RingCT et les preuves d'intervalle. Bulletproofs+ démontre que les montants cachés sont positifs et qu'ils s'équilibrent correctement, le tout sans dévoiler les valeurs.
- Diffuser via Dandelion++. La transaction se propage selon un schéma de relais respectueux de la vie privée qui masque quel nœud l'a émise en premier, contrariant la désanonymisation au niveau de l'IP dans le mempool.
La signature de cercle ne chiffre pas votre transaction — elle la rend indiscernable de 15 alternatives plausibles. Ici, la confidentialité naît de l'ambiguïté, pas de la dissimulation des données.
Les signatures de cercle face aux autres approches de confidentialité
Monero n'est pas le seul projet à s'attaquer à la confidentialité on-chain, mais son approche présente des compromis bien distincts face aux principales alternatives. Le tableau ci-dessous résume comment les signatures de cercle se positionnent.
| Approche | Atouts | Limites |
|---|---|---|
| Signatures de cercle Monero (CLSAG + RingCT) | Confidentialité par défaut pour chaque transaction ; pas de configuration de confiance ; mature et éprouvée depuis 2017 | Ensemble d'anonymat plafonné à la taille du cercle (16) ; transactions plus volumineuses que sur les chaînes transparentes |
| zk-SNARKs (ex. pools blindés de Zcash) | Ensemble d'anonymat très large lorsqu'il est blindé ; preuves de petite taille | La confidentialité est optionnelle, donc la plupart des transactions restent transparentes ; certaines conceptions exigeaient une configuration de confiance |
| CoinJoin / mixage (surcouches Bitcoin) | Fonctionne sur une chaîne transparente existante ; aucun changement de protocole requis | Optionnel et coordonné ; les sociétés d'analyse de chaîne regroupent et « démixent » activement les participants |
| Registres transparents (Bitcoin, Ethereum) | Entièrement auditables ; simples à vérifier | Aucune confidentialité de l'expéditeur, du destinataire ni du montant ; graphe de paiements public et permanent |
La différence déterminante tient au mot défaut. Avec CoinJoin ou les pools blindés, la confidentialité est un choix que l'utilisateur doit poser activement, et la minorité qui le fait se distingue du lot. Sur Monero, il n'existe aucun mode transparent dans lequel se replier : chaque dépense passe par une signature de cercle, si bien que la foule en quête de confidentialité, c'est l'ensemble des utilisateurs. C'est précisément ce qui sous-tend la fongibilité.
La faiblesse honnête, c'est l'ensemble d'anonymat. Seize membres, c'est radicalement mieux que zéro, mais cela reste fini. Un adversaire suffisamment doté qui parvient à écarter des leurres grâce à des informations externes resserre le champ. Cette limite est exactement ce que la prochaine mise à niveau du protocole entend effacer.
La suite : FCMP++ et un ensemble d'anonymat à l'échelle de la chaîne
Le changement le plus marquant à venir pour la confidentialité de l'expéditeur sur Monero, c'est FCMP++ — Full-Chain Membership Proofs, soit les preuves d'appartenance à toute la chaîne. Au lieu de prouver « ma sortie fait partie de ces 16 », le dépensier prouve « ma sortie fait partie de toutes les sorties qui ont jamais existé sur la chaîne ». Avec bien plus de 100 millions de sorties enregistrées à ce jour, on transforme un ensemble d'anonymat de 16 en un ensemble d'anonymat de la blockchain entière.
FCMP++ s'appuie sur une structure cryptographique différente — une construction Curve Trees qui permet à un prouveur de démontrer son appartenance à un ensemble gigantesque au moyen d'une preuve compacte et efficacement vérifiable. Point crucial : comme les outils déjà en place sur Monero, elle se passe de toute configuration de confiance, ce qui a longtemps été un point d'achoppement des conceptions à base de SNARK.
Tout au long de 2025, FCMP++ a traversé des revues de code et des audits cryptographiques indépendants financés par la communauté, et son arrivée est prévue de pair avec la refonte plus large du protocole de transaction Seraphis et le schéma d'adressage Jamtis. Ensemble, ces évolutions visent à retirer définitivement le cercle borné. Tant que le hard fork concerné n'est pas activé sur le mainnet, le cercle de 16 membres décrit dans ce guide reste exactement le mode de fonctionnement des transactions en direct — rien de ce qui touche à l'acquisition ou à la détention de XMR aujourd'hui ne change.
Pour donner une idée concrète de l'échelle : un ensemble d'anonymat à l'échelle de la chaîne rend caduques les heuristiques de sélection de leurres, les distributions gamma et le long débat sur la « bonne » taille de cercle. La question « lequel des 16 est le vrai ? » est remplacée par « lequel des cent millions et plus est le vrai ? » — une question sans réponse exploitable pour un analyste.
FAQ
Une signature de cercle Monero peut-elle remonter jusqu'au véritable expéditeur ?
Pas à partir de la signature elle-même. Celle-ci prouve que l'un des 16 membres du cercle est le vrai dépensier sans désigner lequel, et l'image de clé ne peut pas être reliée à votre identité. Les tentatives de désanonymisation reposent généralement sur des métadonnées externes — fuites d'IP, registres KYC d'exchanges, ou heuristiques de leurres datées — plutôt que sur une rupture de la cryptographie. En France, par exemple, les prestataires enregistrés auprès de l'AMF (les PSAN) sont tenus de collecter votre identité ; c'est typiquement ce maillon-là, et non le protocole, qui sert de prise à une analyse. Passer par une voie d'acquisition sans KYC et par un nœud bien entretenu referme la plupart de ces canaux auxiliaires.
Quelle est la taille de cercle actuelle de Monero ?
Seize. Chaque transaction comprend votre sortie réelle plus 15 leurres, et cette taille est fixe et obligatoire pour tous les utilisateurs depuis le hard fork d'août 2022. Une taille de cercle uniforme est en soi une mesure de confidentialité, car des tailles variables permettraient d'identifier les transactions par leur empreinte structurelle.
En quoi une signature de cercle diffère-t-elle de RingCT ?
Elles protègent des choses différentes. La signature de cercle cache qui dépense, tandis que RingCT (Ring Confidential Transactions) cache combien est dépensé. Les deux opèrent ensemble dans chaque transaction, aux côtés des adresses furtives qui cachent le destinataire. Les trois couches sont indispensables à une confidentialité complète.
Pourquoi ne puis-je pas simplement dépenser une sortie Monero directement, sans leurres ?
Vous le pourriez techniquement, du point de vue du protocole, mais cela révélerait publiquement quelle sortie exacte vous dépensez et la relierait à votre transaction précédente, détruisant la confidentialité pour vous et pour quiconque aurait déjà utilisé votre sortie comme leurre. Monero impose donc le cercle au niveau du consensus — il n'existe aucun moyen d'envoyer une transaction Monero « transparente ».
FCMP++ rendra-t-il mes XMR existants plus privés automatiquement ?
Oui, dès son activation. Comme la confidentialité de Monero est une propriété du protocole et non des pièces individuelles, une future mise à niveau vers les preuves d'appartenance à toute la chaîne étendrait l'ensemble d'anonymat élargi aux dépenses faites après le fork, sans aucune action requise des détenteurs. Les pièces que vous détenez aujourd'hui ne sont pas « marquées » : elles se dépensent simplement selon les règles en vigueur au moment de la transaction.
Conclusion
Les signatures de cercle sont la raison pour laquelle un expéditeur Monero peut prouver qu'il a le droit de dépenser sans révéler quelle sortie il dépense — une seule signature CLSAG sur un cercle de 16, ancrée par une image de clé qui bloque les doubles dépenses sans démasquer personne. Couplées aux adresses furtives et à RingCT, elles font de la confidentialité l'option par défaut plutôt qu'une fonctionnalité à activer, et ce défaut est ce qui confère aux XMR leur fongibilité. Avec FCMP++ à l'horizon, l'ensemble d'anonymat est sur le point de passer d'un cercle fixe à la chaîne tout entière.
Comprendre le mécanisme est la première étape ; la seconde consiste à acquérir des XMR sans sacrifier la confidentialité que vous venez de découvrir. MoneroSwapper vous permet d'acheter du Monero anonymement, sans compte ni journaux, de sorte que vos pièces arrivent déjà protégées par chacune des couches décrites ici — à l'instant où elles atterrissent dans votre portefeuille, le cercle se referme autour d'elles.
🌍 Lire en