Monero FCMP++ expliqué : la fin des signatures de cercle
Monero FCMP++ expliqué : la fin des signatures de cercle
Depuis près d'une décennie, la confidentialité de Monero repose sur un mécanisme mathématique astucieux que l'on appelle signature de cercle : lorsque vous dépensez une pièce, votre entrée réelle est mélangée à 15 leurres tirés au sort dans la chaîne, et un observateur extérieur ne peut pas distinguer laquelle est la vôtre. Cette taille de cercle de 16 a remarquablement bien tenu, mais elle reste aussi la surface d'attaque la plus étudiée du protocole. Le hard fork prévu en 2026 change toute l'équation. FCMP++ — abréviation de Full-Chain Membership Proofs Plus Plus — remplace le cercle de 16 sorties par une preuve cryptographique attestant que votre entrée appartient à l'ensemble de toutes les sorties dépensables jamais produites par Monero, ce qui dépasse aujourd'hui les cent millions. L'ensemble d'anonymat passe de 16 à pratiquement toute l'histoire de la chaîne. Ce guide détaille ce que FCMP++ fait réellement, pourquoi le schéma CLSAG actuel devait être mis à la retraite, comment les arbres de courbe et le cycle Helios/Selene rendent les calculs traitables, et à quoi ressemblera l'échange vers XMR via des services comme MoneroSwapper une fois la mise à jour déployée.
Pourquoi CLSAG et les signatures de cercle devaient disparaître
Le schéma de signature actuel de Monero, CLSAG (Concise Linkable Spontaneous Anonymous Group), a été activé en août 2020 et a réduit la taille des transactions d'environ 25 % par rapport à la construction MLSAG précédente. Il est élégant, rapide, éprouvé par des années de production. Mais sa prémisse centrale — qu'un attaquant ne peut pas distinguer la dépense réelle des 15 leurres — a toujours été une hypothèse qui s'affaiblit à mesure que l'analyse de chaîne progresse.
Plusieurs heuristiques publiées rongent peu à peu la garantie « 16 sur 16 ». La plus citée est l'attaque Eve-Alice-Eve, dans laquelle une entité de surveillance contrôle ou observe deux transactions impliquant la même cible et exploite les motifs temporels, les distributions d'âge des sorties et les entrées connues comme dépensées pour réduire l'ensemble d'anonymat effectif. Des chercheurs ont démontré que, sous des modèles d'adversaire réalistes, la taille de cercle effective peut tomber bien en dessous de 16 pour certaines transactions. Des sociétés d'analyse de chaîne telles que Chainalysis, CipherTrace ou Elliptic — ainsi que des prestataires sollicités par la DGFiP française et par l'unité Tracfin dans le cadre d'enquêtes anti-blanchiment — revendiquent publiquement des capacités partielles de désanonymisation, même si la précision pratique de ces affirmations reste contestée par les chercheurs indépendants.
- Ensemble d'anonymat limité : 16 entrées sur un registre de 100 millions de sorties, c'est de la confidentialité statistique, pas de la confidentialité cryptographique.
- Biais de sélection des leurres : la distribution gamma utilisée pour piocher les leurres laisse fuiter de l'information lorsque la sortie réelle est anormalement ancienne ou anormalement récente.
- Attaques par billes noires (black marble) : un adversaire qui contrôle une fraction importante des sorties nouvellement créées peut empoisonner les futurs cercles en sachant lesquelles des 16 lui appartiennent.
- Hypothèse d'ensemble fermé : si le schéma de dépense d'un portefeuille est prévisible, l'ensemble effectif rétrécit même quand l'ensemble cryptographique ne bouge pas.
FCMP++ supprime entièrement le modèle des leurres. Plus de cercle. Plus d'algorithme de sélection à biaiser. À la place, l'émetteur produit une preuve à divulgation nulle de connaissance attestant que l'entrée dépensée est l'une des sorties figurant dans un engagement en arbre de Merkle sur la chaîne complète — et cette preuve ne révèle rien sur laquelle.
Comment fonctionnent vraiment les preuves d'appartenance à la chaîne complète
Le défi cryptographique posé par FCMP++ est brutal : prouver l'appartenance à un ensemble de plus de 100 millions d'éléments, le faire en moins d'un kilo-octet, et vérifier le tout en quelques millisecondes sur un ordinateur portable. Le Monero Research Lab a résolu cette équation en empilant trois primitives — les arbres de courbe, le cycle Helios/Selene et Bulletproofs+ — en une preuve composite unique. Le résultat est une signature à peu près de la taille d'un CLSAG actuel, avec un ensemble d'anonymat six ordres de grandeur plus large.
Arbres de courbe : des arbres de Merkle pour points de courbe elliptique
Un arbre de courbe, introduit par Campanelli, Hall-Andersen et Kamp en 2022, est un arbre de Merkle dont les nœuds internes sont des engagements sur courbe elliptique plutôt que de simples hachages. Les feuilles contiennent les clés publiques des sorties et les engagements de montant ; chaque branche combine ses enfants à l'aide d'un engagement de Pedersen sur une courbe elliptique appariée. Comme ces engagements sont homomorphes, on peut prouver qu'une feuille cachée se trouve sur un chemin donné sans révéler la feuille ni le chemin. L'arbre destiné à Monero compte environ 25 niveaux de profondeur à la taille actuelle de la chaîne, et son rééquilibrage fait partie du consensus.
Le cycle de courbes Helios et Selene
Les arbres de courbe ont besoin de deux courbes elliptiques qui s'emboîtent arithmétiquement — le corps de base d'une courbe est le corps des scalaires de l'autre. Le Monero Research Lab a retenu une nouvelle paire, baptisée Helios et Selene, conçue en 2024 spécifiquement à cet effet. Elle a été préférée à des alternatives comme le cycle Pasta (utilisé par Mina) parce qu'elle offre une meilleure arithmétique en temps constant en Rust et en C++, et qu'elle s'entend bien avec les clés Ed25519 déjà utilisées par Monero. Détail crucial : les sorties existantes n'ont pas besoin d'être migrées vers les nouvelles courbes ; le système de preuve fait le pont entre Ed25519 et Helios au niveau des feuilles.
Bulletproofs+ pour la portée et la composition
Les preuves de portée (montrer que le montant d'une sortie n'est pas négatif sans révéler ce montant) reposent toujours sur Bulletproofs+, la même primitive utilisée depuis le fork de novembre 2022. FCMP++ étend BP+ pour prouver aussi l'énoncé composite : « Je connais l'ouverture d'une feuille située quelque part dans l'arbre de courbe, cette feuille engage une sortie qui m'appartient, et je ne l'ai pas dépensée auparavant. » La preuve résultante pèse environ 3 Ko avant agrégation et se vérifie en moins de 50 millisecondes sur un processeur moderne, d'après les benchmarks publiés par Luke « Kayaba » Parker dans l'implémentation de référence.
Ce qui change pour les utilisateurs et les opérateurs de portefeuilles
Pour un utilisateur Monero ordinaire, le jour de l'activation de FCMP++ paraîtra étonnamment banal. Votre portefeuille se synchronise, vos sous-adresses fonctionnent toujours, votre phrase de récupération reste valide. Le changement est invisible dans l'interface, mais profond en dessous. Voici une comparaison côte à côte des différences pratiques.
| Propriété | Avant le fork (CLSAG) | Après le fork (FCMP++) |
|---|---|---|
| Ensemble d'anonymat par entrée | 16 sorties | ~100 M+ sorties (toute la chaîne) |
| Taille de transaction (2 in, 2 out) | ~1,5 Ko | ~3 à 4 Ko |
| Temps de vérification | ~10 ms | ~40 à 50 ms |
| Sélection des leurres | Distribution gamma, côté client | Aucune — engagement sur la chaîne |
| Compatibilité hardware wallet | Trezor, Ledger | Trezor d'abord, Ledger 6 à 12 mois plus tard |
| Résistance à l'analyse de chaîne | Statistique, s'affaiblit avec le temps | Cryptographique, l'ensemble croît avec la chaîne |
| Attaques par black marble / empoisonnement | Possibles à grande échelle | Éliminées |
Les frais de transaction augmenteront modérément — les premières estimations parlent de 1,8x à 2,5x les frais minimums actuels par kilo-octet — parce que les preuves sont plus volumineuses. Le mécanisme de taille de bloc dynamique absorbe cependant l'essentiel de l'impact, et l'émission de queue maintient les revenus des mineurs stables. Le Monero Research Lab a publié un calculateur estimant qu'un utilisateur lambda paiera deux à quatre centimes d'euro supplémentaires par transaction.
« FCMP++ est la plus grande mise à jour de confidentialité de l'histoire de Monero. Nous passons de "probablement anonyme parmi 16" à "anonyme de manière prouvable parmi quiconque a un jour utilisé la chaîne". » — Justin Berman, contributeur MRL, lors de la MoneroKon 2025
Étape par étape : comment se préparer au hard fork FCMP++
Le hard fork est provisoirement programmé pour la fin de 2026, en attendant l'audit final et la revue de code. Voici ce que chaque utilisateur Monero devrait faire pour être prêt, qu'il s'agisse d'auto-conservation, d'opérer un nœud ou de convertir vers XMR via un service.
- Mettez à jour votre logiciel de portefeuille au moins une semaine avant le fork. Surveillez la page des releases GitHub du projet monero-project pour le saut v0.19 → v0.20 qui embarque FCMP++. Les anciens portefeuilles cesseront simplement de pouvoir diffuser des transactions valides au-delà de la hauteur du fork.
- Si vous opérez un nœud, prévoyez une resynchronisation initiale de l'arbre de courbe. La première synchronisation après le fork reconstruit l'engagement d'appartenance depuis le bloc de genèse. Comptez 4 à 8 heures de CPU sur du matériel grand public. Les nœuds élagués sont supportés mais demandent environ 30 % de temps en plus.
- Sortez vos fonds des hardware wallets qui n'ont pas encore publié de mise à jour de firmware. Trezor s'est engagé à supporter la mise à jour dès le premier jour. Les utilisateurs de Ledger doivent s'attendre à une attente plus longue — historiquement, Ledger a accusé 6 à 12 mois de retard sur les forks Monero. Si vous ne pouvez pas attendre, transférez vers un hot wallet utilisant la dernière version du CLI avant le fork.
- Vérifiez la disponibilité de votre pool de minage si vous minez. P2Pool ainsi que les principaux pools centralisés (SupportXMR, Nanopool, les successeurs de MineXMR) ont tous signalé leur soutien. Les mineurs solo devraient recompiler leur nœud depuis les sources officielles dès la sortie du tag de release.
- Si vous utilisez un échange ou un service de swap, confirmez la compatibilité avec le fork à l'avance. Les plateformes de swap sans KYC sérieuses — y compris MoneroSwapper, qui agrège la liquidité de plusieurs échanges — ont historiquement supporté les forks de Monero dans les heures qui suivent l'activation. Consultez la page de statut du service avant le jour J si vous comptez convertir.
- Sauvegardez votre seed avant toute mise à jour majeure. Polyseed et le mnémonique historique de 25 mots restent tous deux valides après le fork ; aucune migration de clés n'est nécessaire. Mais les mises à jour sont une excellente occasion de vérifier que vos sauvegardes restaurent encore correctement.
Exemple concret : un swap sans KYC, avant et après le fork
Prenons un scénario réel. Marion, à Lyon, reçoit un paiement freelance de 0,04 BTC et souhaite le convertir en XMR pour un achat de matériel auprès d'un vendeur qui n'accepte que Monero. Avant FCMP++, son parcours sur MoneroSwapper ressemble à ceci : elle colle sa sous-adresse Monero, reçoit une adresse de dépôt BTC à usage unique, envoie, et dans les 30 minutes le XMR arrive. La transaction qui rattache son entrée à la chaîne plus large est protégée par un cercle de 16 — solide, mais pas indestructible face à un adversaire déterminé qui observerait les deux extrémités.
Après l'activation de FCMP++, le même swap se déroule via la même interface, mais la transaction sous-jacente diffusée par le service pour le compte de Marion porte une preuve attestant que sa sortie pourrait être n'importe laquelle parmi plus de 100 millions de sorties de la chaîne. Même si une société d'analyse corrèle le dépôt BTC avec Marion et observe la sortie XMR, elle ne peut pas relier la sortie précise de Marion à la dépense finale par le vendeur de matériel — la preuve cryptographique d'appartenance ne révèle rien sur la feuille de l'arbre de courbe effectivement dépensée. L'expérience utilisateur est identique ; la garantie de confidentialité est qualitativement différente.
Le contexte réglementaire français mérite d'être précisé. La DGFiP exige que tout résident fiscal français déclare ses comptes d'actifs numériques détenus auprès de prestataires étrangers via le formulaire 3916-bis, sous peine d'une amende de 750 € par compte non déclaré (1 500 € si le solde dépasse 50 000 €). Les plus-values issues de cessions d'actifs numériques sont, pour les particuliers, soumises au prélèvement forfaitaire unique de 30 % au-delà de l'abattement de 305 € annuels. Le règlement MiCA, pleinement en vigueur depuis décembre 2024, exclut explicitement les transferts non custodiaux de portefeuille à portefeuille de la travel rule, et l'AMF a confirmé dans plusieurs positions publiées en 2025 que l'usage personnel d'un wallet auto-hébergé reste licite. FCMP++ ne change rien à votre statut fiscal ou réglementaire — il change ce qu'un adversaire peut prouver à partir des données de la chaîne après coup. Pour les utilisateurs dans des juridictions où la surveillance financière est plus agressive, la mise à jour relève quasiment de la survie.
La feuille de route : FCMP++, Seraphis et Carrot
FCMP++ n'est pas l'aboutissement de la feuille de route de confidentialité de Monero ; c'est une étape. La prochaine proposition majeure, Seraphis, redessine le protocole de transaction de fond en comble et se marie naturellement avec un nouveau schéma d'adressage appelé Jamtis (et sa version allégée, Carrot, proposée par l'utilisateur jeffro256 en 2024). Seraphis apporte un support natif de la multisignature, un scanning plus léger basé sur des view-tags, et une meilleure confidentialité prospective pour les portefeuilles en mode view-only.
L'ordre de bataille a son importance. En livrant d'abord FCMP++ comme une mise à jour contenue du schéma de signature, le Monero Research Lab se donne le temps de finaliser Seraphis sans précipiter deux changements majeurs dans un seul fork. L'analogue historique est le passage de MLSAG à CLSAG en 2020, intervenu 18 mois avant la mise à jour Bulletproofs+. N'attendez pas une activation de Seraphis avant 2027, et uniquement après que la base de code FCMP++ ait connu au moins un cycle complet de release en production.
Reste la question parallèle de la sécurité post-quantique. Ni CLSAG ni FCMP++ ne sont post-quantiques sous leur forme actuelle — les deux reposent sur l'hypothèse du logarithme discret sur courbes elliptiques. Un adversaire quantique disposant d'un ordinateur tolérant aux fautes suffisamment grand pourrait, en principe, casser l'un comme l'autre de manière rétroactive. Le MRL a entamé des recherches sur des remplacements à base de réseaux euclidiens, mais un Monero post-quantique prêt pour la production est probablement un projet des années 2030. FCMP++ achète de la marge contre les adversaires d'aujourd'hui ; la résistance quantique relève d'une autre ligne de la feuille de route.
FAQ
Quand FCMP++ s'active-t-il exactement sur le mainnet ?
À la mi-2026, la hauteur d'activation visée est provisoirement programmée pour la fenêtre octobre-novembre, sous réserve de l'achèvement de deux audits de code indépendants (l'un financé par le Monero Community Crowdfunding System, l'autre confié à un cabinet externe pas encore publiquement nommé) et d'une période de test sur testnet d'au moins 90 jours. Le Monero Research Lab a toujours privilégié la correction sur le calendrier, donc un glissement vers le début 2027 reste plausible. Surveillez le dépôt monero-project pour le tag de release v0.20, qui sera le signal canonique.
Dois-je faire quelque chose de mes XMR existants avant le fork ?
Non. Vos sorties existantes, vos sous-adresses et votre seed restent valides. L'arbre de courbe est construit à partir de toutes les sorties dépensables à la hauteur du fork, donc les pièces que vous déteniez avant le fork sont automatiquement incluses dans le nouvel ensemble d'anonymat. Aucune transaction de migration, aucun token swap, aucun risque de perdre des fonds simplement en conservant à travers le fork. La seule réserve est de maintenir à jour votre logiciel de portefeuille pour pouvoir dépenser après la mise à jour.
Les hardware wallets fonctionneront-ils toujours ?
Trezor s'est engagé à fournir un support dès le premier jour, avec un firmware en développement actif déjà testé sur le testnet FCMP++. Ledger met historiquement plus de temps — l'écart entre les forks Monero et le support Ledger a été en moyenne de 6 à 12 mois lors des mises à jour passées. Si vous dépendez de Ledger, prévoyez soit d'accepter un retard pour dépenser, soit de balayer temporairement vos fonds vers le portefeuille CLI officiel, qui supporte toujours en priorité la dernière version du protocole.
FCMP++ rend-il Monero sûr face au quantique ?
Non. FCMP++ améliore l'ensemble d'anonymat contre l'analyse de chaîne classique, mais hérite de la dépendance existante de Monero au problème du logarithme discret sur courbes elliptiques. Un futur ordinateur quantique d'échelle suffisante pourrait, en théorie, casser les signatures sous-jacentes. Un Monero post-quantique est un projet de recherche distinct, à plus long terme. Le Monero Research Lab a évoqué des candidats à base de réseaux euclidiens ou d'isogénies, mais aucun n'approche le stade de la production.
Quel est l'impact sur les frais de transaction ?
Les premières estimations suggèrent que les frais de base augmenteront d'environ 1,8x à 2,5x parce que les preuves sont plus volumineuses que les signatures CLSAG. En valeur absolue, une transaction typique à deux entrées et deux sorties qui coûte aujourd'hui environ un centime d'euro coûtera deux à quatre centimes après le fork. Les mécanismes de taille de bloc dynamique et d'émission de queue amortissent l'impact, et les frais agrégés par kilo-octet de données utiles restent parmi les plus bas de toutes les cryptomonnaies de confidentialité.
Peut-on convertir en XMR de manière anonyme pendant ou juste après le fork ?
Oui, à condition que le service de swap utilisé supporte la mise à jour. MoneroSwapper et les autres agrégateurs sans KYC suspendent généralement les nouveaux dépôts en Monero pendant quelques heures autour de la hauteur du fork pour permettre aux opérateurs de nœuds de se mettre à jour, puis reprennent un fonctionnement normal. Les fonds envoyés à une adresse de dépôt avant la pause sont traités une fois les nœuds rattrapés. Aucun risque de perdre des fonds, mais il peut y avoir une brève fenêtre de confirmations retardées. Pour les swaps importants, prévoyez bien avant ou bien après la fenêtre du fork pour une expérience fluide.
Conclusion
FCMP++ est le genre de mise à jour qui justifie la réputation de Monero comme cryptomonnaie de confidentialité la plus activement recherchée en production. Elle remplace une hypothèse vieille de dix ans — que 16 leurres suffisent — par une garantie cryptographique liée à toute la chaîne. Les mathématiques sont ardues, les audits sont encore en cours, et le déploiement ne sera ni instantané ni indolore, mais la destination est un Monero dont l'ensemble d'anonymat n'est plus un paramètre à régler et à affaiblir au fil du temps. Pour quiconque dépend d'argent privé, que ce soit pour des raisons commerciales conformes, pour la confidentialité financière personnelle, ou pour opérer dans des juridictions où la surveillance est la norme, cette destination vaut l'attente. Quand le fork sera là, échanger vers XMR via MoneroSwapper fonctionnera exactement comme aujourd'hui — seule la confidentialité sous-jacente sera qualitativement plus forte. Mettez la page en favori, surveillez la release v0.20, et mettez votre portefeuille à jour avant la hauteur du fork.
🌍 Lire en