La résistance quantique de Monero en 2026, expliquée
La résistance quantique de Monero en 2026, expliquée
En août 2024, le NIST a finalisé ses trois premiers standards de cryptographie post-quantique — FIPS 203, 204 et 205 — et la question est venue frapper discrètement à la porte de chaque cryptomonnaie axée sur la confidentialité : qu'advient-il des mathématiques le jour où un ordinateur quantique suffisamment puissant verra le jour ? Pour Monero, l'enjeu est plus lourd que pour les chaînes transparentes. Bitcoin se heurterait surtout à un problème de vol. Monero affronte le vol et un problème de désanonymisation, car les mêmes mathématiques sur courbe elliptique qui dissimulent vos montants et vos destinataires sont exactement celles qu'un attaquant quantique chercherait à briser.
Voici l'essentiel, annoncé sans détour : en 2026, Monero n'est pas résistant au quantique, et aucune des mises à niveau livrées au cours de ce cycle ne change cet état de fait. Mais « pas encore résistant » est très différent de « cassé ». Cet article décortique ce sur quoi repose réellement la cryptographie de Monero, ce qu'un ordinateur quantique peut et ne peut pas lui faire, où en est concrètement la feuille de route de 2026, et ce que vous devriez faire dès aujourd'hui — si tant est qu'il y ait quelque chose à faire. Si vous obtenez des XMR via un service sans KYC comme MoneroSwapper, vous comprendrez aussi pourquoi la confidentialité dont vous bénéficiez maintenant tient pour des années, et non pour quelques jours.
Pourquoi l'informatique quantique est une menace particulière pour Monero
Chaque transaction Monero s'appuie sur la cryptographie à courbe elliptique construite sur Curve25519 et Ed25519. La sécurité de cette courbe repose sur le problème du logarithme discret sur courbe elliptique (ECDLP) : à partir d'une clé publique, retrouver la clé privée correspondante est hors de portée d'un matériel classique. L'algorithme de Shor, exécuté sur un ordinateur quantique tolérant aux pannes et de taille suffisante, résout précisément ce problème en temps polynomial.
Pour une monnaie transparente, un ECDLP cassé signifie qu'un attaquant peut dériver les clés privées à partir des clés publiques exposées et dérober des pièces. C'est grave, mais c'est borné. Monero hérite de ce risque et en ajoute un second, sans doute plus préoccupant encore pour un projet centré sur la confidentialité :
- Le vol des sorties non dépensées : chaque sortie Monero est verrouillée par une clé publique à usage unique (une adresse furtive) inscrite sur la chaîne. Avec Shor, un attaquant pourrait calculer la clé privée à usage unique correspondante et dépenser des sorties qui n'ont jamais bougé.
- La désanonymisation rétroactive : les signatures de cercle, RingCT et les adresses furtives masquent toutes le lien entre payeur et bénéficiaire en s'appuyant sur des relations dont la solidité dépend de l'ECDLP. Cassez la courbe, et le graphe historique des transactions devient bien plus analysable — une attaque « récolter maintenant, déchiffrer plus tard » visant la vie privée, et pas seulement les fonds.
- Les données sont déjà publiques : la blockchain est permanente et répliquée à l'échelle mondiale. Un adversaire peut l'archiver dès aujourd'hui et attendre que le matériel rattrape son retard. C'est pourquoi la question du calendrier compte, même si aucune machine de ce genre n'existe encore.
Cette double exposition explique pourquoi la communauté de recherche de Monero traite la migration post-quantique comme un « quand » et non comme un « si » — et pourquoi les affirmations trompeuses du type « Monero est inviolable face au quantique » causent un véritable tort.
Comment fonctionne la cryptographie de Monero aujourd'hui
Pour saisir ce qui est en jeu, il est utile d'associer chaque fonction de confidentialité à l'hypothèse dont elle dépend. Trois piliers font le gros du travail, et tous trois reposent sur la courbe elliptique.
Les signatures de cercle et CLSAG
Depuis la mise à niveau du réseau d'octobre 2020, Monero utilise les signatures de cercle CLSAG (qui ont remplacé l'ancien MLSAG). Une signature de cercle prouve qu'un membre d'un groupe de sorties leurres a autorisé une dépense, sans révéler lequel. La taille de cercle actuelle est de 16. L'impossibilité de relier le véritable dépensier aux leurres est une propriété garantie par la difficulté de l'ECDLP — et Shor la dissout.
RingCT, Bulletproofs+ et les adresses furtives
RingCT dissimule les montants des transactions au moyen d'engagements de Pedersen, en place depuis 2017. Pour prouver qu'un montant caché est positif ou nul sans le révéler, Monero recourt aux preuves d'intervalle Bulletproofs+ (actives depuis le hard fork d'août 2022), qui ont nettement réduit la taille des preuves et le coût de leur vérification. Les adresses furtives génèrent une clé publique fraîche à usage unique pour chaque sortie, via un échange de clés de type Diffie-Hellman, de sorte que l'adresse réelle du destinataire n'apparaît jamais sur la chaîne. Chacune de ces constructions arrime sa sécurité à la difficulté du logarithme discret de Curve25519.
RandomX et la preuve de travail
La preuve de travail RandomX de Monero est une autre histoire. Il s'agit d'un problème de hachage et de recherche, et l'outil quantique pertinent ici est l'algorithme de Grover, non celui de Shor. Nous verrons plus loin pourquoi cette distinction est la frontière entre « gérable » et « existentiel ».
La vérité dérangeante : un seul ordinateur quantique cryptographiquement pertinent ne permettrait pas seulement à un attaquant de voler des XMR dormants — il affaiblirait rétroactivement la confidentialité de transactions confirmées des années plus tôt. La permanence est une lame à double tranchant.
Ce que les ordinateurs quantiques peuvent et ne peuvent pas faire en 2026
La menace se scinde nettement en deux algorithmes aux conséquences très différentes pour Monero.
| Algorithme quantique | Ce qu'il attaque | Effet sur Monero |
|---|---|---|
| Algorithme de Shor | ECDLP / logarithmes discrets — le socle des clés, des signatures de cercle, de RingCT et des adresses furtives | Catastrophique : rend possibles le vol et la désanonymisation rétroactive dès que le matériel atteint une taille suffisante |
| Algorithme de Grover | Recherche non structurée et hachage — la preuve de travail RandomX, les préimages de hachage | Gérable : une simple accélération quadratique. Les empreintes de 256 bits tombent à environ 128 bits de sécurité effective, ce qui reste hors d'atteinte |
L'accélération quadratique de Grover a beau sonner inquiétant, elle ne l'est pas. Diviser par deux la robustesse effective en bits d'une primitive de 256 bits laisse environ 128 bits — une marge de sécurité que les adversaires classiques ne peuvent déjà pas entamer, et que l'énorme surcoût en facteur constant de Grover dégrade plutôt qu'elle ne l'améliore. La cryptographie symétrique et le hachage traversent l'ère quantique avec, au pire, un ajustement de paramètre.
L'algorithme de Shor est la véritable préoccupation, et le facteur limitant est le matériel. Casser la cryptographie sur courbe elliptique de 256 bits exige environ quelques milliers de qubits logiques tolérants aux pannes, ce qui requiert à son tour des millions de qubits physiques une fois pris en compte le surcoût de la correction d'erreurs quantiques. Où en sommes-nous en 2026 ?
- Le nombre de qubits physiques grimpe, celui des qubits logiques non : la puce Condor d'IBM a atteint 1 121 qubits physiques dès 2023, mais ils sont bruités. Le nombre de qubits logiques stables, corrigés des erreurs, disponibles où que ce soit se compte encore en quelques unités, au mieux en quelques dizaines.
- La correction d'erreurs a franchi un cap : la puce Willow de Google, en décembre 2024, a démontré une correction d'erreurs sous le seuil — ajouter des qubits réduisait le taux d'erreur au lieu de l'augmenter. C'est une avancée réelle, mais la route est longue, d'un qubit logique à plusieurs milliers.
- Les estimations ne cessent de bouger : une réévaluation de 2025 a ramené le nombre de qubits nécessaires pour casser RSA-2048 sous la barre du million de qubits physiques, contre des chiffres antérieurs de 20 millions. Encourageant pour les chercheurs, dégrisant pour les cryptographes — mais toujours très loin des machines actuelles.
Le consensus dominant des experts situe un ordinateur quantique cryptographiquement pertinent quelque part dans les années 2030 au plus tôt, avec une grande incertitude et une probabilité non négligeable qu'il n'atteigne jamais une échelle utile. Monero ne court aucun danger immédiat en 2026. Le risque d'archivage « récolter maintenant, déchiffrer plus tard » est la seule partie qui mord dès aujourd'hui, et elle mord lentement.
La feuille de route post-quantique de Monero : ce qui est réel et ce qui relève du battage
C'est ici que la désinformation prospère. Soyons donc précis sur le pipeline 2025-2026.
FCMP++ est un bond pour la confidentialité, pas un bouclier quantique
La mise à niveau phare de ce cycle est FCMP++ (Full-Chain Membership Proofs). Au lieu de cacher la véritable dépense parmi 15 leurres, FCMP++ prouve que la sortie dépensée appartient à l'ensemble de toutes les sorties jamais créées — faisant de l'ensemble d'anonymat la blockchain tout entière. Elle a fait l'objet d'audits formels en 2025 en amont d'un hard fork prévu. C'est une amélioration majeure en matière de confidentialité et de passage à l'échelle.
Mais elle n'est pas post-quantique. FCMP++ est bâtie sur les Curve Trees, à l'aide d'un cycle de courbes elliptiques (les courbes Helios et Selene). Elle repose sur les mêmes hypothèses de logarithme discret que Shor briserait. Quiconque vous affirme que FCMP++ « immunise Monero contre les ordinateurs quantiques » se trompe — elle pérennise votre ensemble d'anonymat, ce qui est une tout autre chose, et néanmoins précieuse.
Seraphis et Jamtis
Plus loin sur l'horizon se trouvent Seraphis (un protocole de transaction repensé) et Jamtis (son schéma d'adressage compagnon). Ils améliorent la confidentialité, l'expérience utilisateur des portefeuilles et la souplesse des preuves. Comme FCMP++, ce sont des constructions sur courbe elliptique et, en elles-mêmes, elles ne sont pas résistantes au quantique.
Les vrais travaux post-quantiques
Un Monero authentiquement post-quantique est un sujet de recherche actif au sein du Monero Research Lab, et non une fonctionnalité livrée. La difficulté réside dans le fait que les systèmes de signature et de preuve post-quantiques — schémas à base de réseaux euclidiens comme ML-DSA, ou à base de hachage comme SLH-DSA — produisent des objets bien plus volumineux que leurs équivalents sur courbe elliptique. Les greffer sur un protocole de confidentialité qui dépend d'engagements compacts et de preuves d'intervalle, sans faire gonfler les transactions d'un facteur dix, relève d'un défi d'ingénierie réellement non résolu. Attendez-vous à un effort de plusieurs années, coordonné par un futur hard fork, bien après l'arrivée de FCMP++ et de Seraphis.
Ce que les détenteurs de XMR devraient réellement faire en 2026
Le conseil pratique est court, car la plupart des recommandations « protégez-vous du quantique » destinées à la crypto sont soit prématurées, soit impossibles à mettre en œuvre à l'échelle individuelle. Voici la liste de contrôle réaliste.
- Ne vendez pas dans la panique au moindre titre sur le quantique. Aucun ordinateur quantique en 2026 ne peut toucher Curve25519. Les articles qui prétendent le contraire extrapolent à partir de comptages de qubits physiques qui ne sont pas corrigés des erreurs.
- Gardez votre logiciel de portefeuille à jour. Lorsque Monero coordonnera une migration post-quantique, elle arrivera via un hard fork qui imposera de déplacer les fonds vers de nouveaux types de sorties. Faire tourner un portefeuille à jour, c'est ainsi que vous pourrez la recevoir et y donner suite.
- Suivez la gouvernance, pas les influenceurs. Surveillez le Monero Research Lab, les notes de version de getmonero.org et le calendrier des hard forks. C'est là qu'une véritable transition PQ sera annoncée, auditée et datée.
- Traitez le risque d'archivage comme la seule préoccupation actuelle. Si vous avez besoin d'une confidentialité maximale sur le long terme, réduisez dès aujourd'hui l'empreinte reliable que vous créez, car la chaîne est permanente. Acquérir des XMR via un échange sans journalisation et sans KYC diminue les liens d'identité hors chaîne qui survivraient à toute rupture cryptographique future.
Remarquez ce qui manque : il n'existe aucun « portefeuille Monero résistant au quantique » vers lequel migrer, aucun réglage à activer. La migration, le jour venu, sera un événement de niveau protocole que l'ensemble du réseau accomplira de concert.
Un exemple concret : vol contre désanonymisation
Imaginez un adversaire qui a archivé l'intégralité de la blockchain Monero en 2026 et qui acquiert un ordinateur quantique cryptographiquement pertinent en, disons, 2035. Deux choses bien distinctes deviennent possibles, et elles frappent des victimes différentes.
Premièrement, le vol : toute sortie encore non dépensée à ce moment-là peut être vidée, parce que sa clé à usage unique peut être retrouvée à partir de l'adresse furtive inscrite sur la chaîne. Les pièces qui ont été déplacées vers un type de sortie post-quantique avant la rupture sont à l'abri — ce qui explique précisément pourquoi une migration coordonnée compte, et pourquoi faire tourner un logiciel à jour est l'étape numéro un.
Deuxièmement, la désanonymisation : les sorties dépensées ne peuvent pas être volées, mais les signatures de cercle historiques et les relations d'adresses furtives peuvent être démêlées, exposant potentiellement qui a transigé avec qui des années plus tôt. Contre cela, aucune défense du type « déplacez vos pièces » n'existe ; la seule atténuation consiste à limiter les liens d'identité que vous rattachez à vos XMR hors chaîne. Lorsque vous approvisionnez un portefeuille via MoneroSwapper sans compte, sans e-mail ni pièce d'identité, aucun enregistrement KYC d'une plateforme ne relie cette activité on-chain — déchiffrable dans le futur — à votre nom. Les mathématiques sur la chaîne finiront peut-être par céder ; la miette hors chaîne qui n'a jamais été laissée, elle, ne peut pas être laissée après coup.
FAQ
Monero est-il résistant au quantique en 2026 ?
Non. Les signatures de cercle de Monero, RingCT, les adresses furtives et les clés reposent toutes sur une cryptographie à courbe elliptique que l'algorithme de Shor briserait sur un grand ordinateur quantique tolérant aux pannes. Aucune machine de ce genre n'existe en 2026, il n'y a donc aucun danger présent — mais Monero n'est pas post-quantique, et aucune mise à niveau actuelle ne le rend tel.
FCMP++ rend-il Monero résistant au quantique ?
Non, et c'est une idée fausse très répandue. FCMP++ améliore considérablement la confidentialité en étendant l'ensemble d'anonymat à la blockchain entière, mais elle est bâtie sur des Curve Trees à courbe elliptique et repose sur les mêmes hypothèses de logarithme discret qu'un ordinateur quantique attaquerait. C'est une mise à niveau de la confidentialité, pas une défense quantique.
Quand un ordinateur quantique pourrait-il réellement casser Monero ?
Les estimations dominantes pointent vers les années 2030 au plus tôt pour un ordinateur quantique cryptographiquement pertinent, avec une forte incertitude. Casser la cryptographie sur courbe elliptique de 256 bits demande des milliers de qubits logiques et des millions de qubits physiques ; en 2026, le monde n'en compte qu'une poignée de stables. Le calendrier pourrait glisser bien plus tard — ou, moins probablement, arriver plus tôt.
Dois-je déplacer mes XMR pour les protéger des ordinateurs quantiques ?
Pas encore. Il n'existe nulle part où les déplacer en lieu sûr quantique, puisqu'un Monero post-quantique demeure un effort de recherche. L'action réaliste consiste à maintenir votre logiciel de portefeuille à jour afin de pouvoir participer à un futur hard fork de migration, et à réduire dès aujourd'hui les liens d'identité hors chaîne, compte tenu de la permanence de la blockchain.
L'algorithme de Grover menace-t-il le minage RandomX de Monero ?
Seulement à la marge. L'algorithme de Grover offre une accélération quadratique contre le hachage et la recherche, divisant de fait par deux la robustesse en bits d'une empreinte — une primitive de 256 bits tombe à environ 128 bits de sécurité, ce qui reste confortablement hors d'atteinte. La preuve de travail et le hachage survivent à l'ère quantique ; c'est la couche de signature sur courbe elliptique qui constitue la véritable préoccupation.
Conclusion
La résistance quantique est l'un de ces rares sujets Monero où la réponse exacte est plus rassurante que les gros titres : il existe un risque réel à long terme, il n'est pas présent en 2026, et les chercheurs du projet le traitent comme un « quand » sérieux plutôt que comme une panique. FCMP++, Seraphis et Jamtis rendent Monero plus confidentiel et plus évolutif, mais ne prétendent pas être des boucliers quantiques — le vrai travail post-quantique est un effort de plusieurs années encore sur l'établi du laboratoire. La chose la plus intelligente que vous puissiez faire maintenant, c'est de garder votre logiciel à jour, de suivre la feuille de route du protocole plutôt que les influenceurs, et de vous rappeler que la confidentialité hors chaîne que vous établissez aujourd'hui survivra à toute rupture cryptographique future. Si vous voulez des XMR sans aucune trace KYC qui leur soit attachée, vous pouvez acheter du Monero anonymement via MoneroSwapper et faire l'impasse sur la miette d'identité qu'aucune migration future ne pourra effacer à votre place.
🌍 Lire en