Les signatures CLSAG de Monero, expliquées simplement

Le 17 octobre 2020, au bloc 2 210 720, Monero a discrètement remplacé le moteur cryptographique qui se cache derrière chacune de ses transactions. Le hard fork « Oxygen Orion » a mis à la retraite l'ancienne signature de cercle MLSAG au profit de CLSAG — et, du jour au lendemain, les transactions sont devenues environ 25 % plus légères et leur vérification 10 à 20 % plus rapide. Si vous avez déjà envoyé des XMR, ou converti des Bitcoin en Monero via un service comme MoneroSwapper, votre transaction a été protégée par une signature CLSAG sans que vous ne remarquiez quoi que ce soit.

La plupart des gens traitent la confidentialité de Monero comme une boîte noire : on y verse des pièces, et il en ressort des pièces intraçables. Mais le tour de magie qui dissimule l'expéditeur a un nom et une structure bien réels. CLSAG est précisément la brique qui vous permet de prouver « je possède l'une de ces sorties et je la dépense une seule fois » — sans jamais révéler laquelle vous appartient. Cet article décortique ce qu'est CLSAG, son fonctionnement, les raisons qui ont conduit à remplacer son prédécesseur, et la place qu'il occupe dans la feuille de route de Monero, alors que des preuves plus récentes comme FCMP++ approchent du réseau.

Ce que signifie réellement l'acronyme CLSAG

CLSAG est un acronyme, et chaque lettre décrit une propriété concrète du schéma. Il abrège Concise Linkable Spontaneous Anonymous Group signatures — soit, en français, « signatures de groupe concises, liables, spontanées et anonymes ». La conception est issue d'un article de recherche de 2019 signé Brandon Goodell, Sarang Noether et un contributeur connu sous le pseudonyme de RandomRun ; elle a été relue par les pairs et auditée avant d'atteindre le réseau principal.

• Concise (concise) : la signature est compacte. CLSAG produit beaucoup moins de scalaires par membre du cercle que le schéma qu'il remplace, et c'est exactement de là que viennent les économies de taille.
• Linkable (liable) : si une même sortie venait à être dépensée deux fois, le réseau le détecterait. Cela repose sur l'image de clé, une empreinte déterministe qui empêche la double dépense sans jamais exposer le dépensier.
• Spontaneous (spontanée) : aucune cérémonie de configuration, aucune coopération entre les personnes dont les sorties apparaissent dans votre cercle. Vous pouvez piocher des leurres sur la blockchain à leur insu et sans leur consentement.
• Anonymous (anonyme) : un vérificateur peut confirmer que la signature est valide, mais il est incapable de dire lequel des membres du cercle l'a réellement autorisée.
• Group (de groupe) : la signature est apposée au nom d'un groupe — le cercle — et non d'une unique clé identifiable.

Combinez ces propriétés et vous obtenez le cœur de la confidentialité de l'expéditeur sous Monero : une signature valide qui prouve l'autorisation par quelqu'un au sein d'un ensemble de candidats plausibles, tout en gardant le véritable signataire caché et en rendant les doubles dépenses impossibles.

Le fonctionnement de CLSAG sous le capot

Pour comprendre CLSAG, il faut d'abord saisir ce qu'une signature de cercle cherche à accomplir, puis voir comment CLSAG en réduit la taille. Les transactions Monero utilisent RingCT, qui combine deux éléments devant rester confidentiels : qui dépense (l'ambiguïté de l'expéditeur) et combien (la confidentialité du montant). CLSAG s'occupe de la première moitié. Bulletproofs+ gère la seconde.

Le problème de la signature de cercle

Lorsque vous dépensez une sortie Monero, votre portefeuille construit un cercle : votre sortie réelle, plus un certain nombre de sorties leurres tirées de la chaîne. Depuis la mise à niveau « Fluorine Fermi » d'août 2022, la taille du cercle est figée à 16, ce qui signifie que chaque dépense se dissimule parmi 15 leurres. Un observateur extérieur voit 16 sorties candidates et ne peut pas déterminer laquelle est réellement dépensée.

Le défi consiste à signer d'une manière qui prouve « je contrôle la clé privée de l'une de ces 16 sorties » sans laisser fuiter laquelle. Une signature de cercle fait exactement cela. L'astuce repose sur la construction d'une boucle de défis cryptographiques qui ne se referme que si le signataire connaît une véritable clé privée — alors que, vue de l'extérieur, chaque maillon paraît identique.

Images de clé et protection contre la double dépense

Le danger, avec un expéditeur masqué, c'est la double dépense : si personne ne peut voir quelle sortie vous avez dépensée, qu'est-ce qui vous empêche de la dépenser à nouveau ? La réponse, c'est l'image de clé. Chaque sortie possède exactement une image de clé valide, calculée comme le produit de la clé privée par un « hash-to-point » de la clé publique. Elle est mathématiquement liée à la sortie, mais ne révèle rien sur le membre du cercle qui l'a produite.

Chaque image de clé jamais utilisée est consignée sur la chaîne. Quand une nouvelle transaction arrive, les nœuds vérifient si son image de clé est déjà apparue. Si c'est le cas, la transaction est rejetée pour cause de double dépense. C'est ce qui rend sûr le modèle d'expéditeur masqué de Monero — la propriété de liabilité, le « L » de CLSAG.

Comment l'agrégation réduit la taille de la signature

Voici le cœur de ce qui rend CLSAG « concis ». Dans une transaction RingCT, chaque membre du cercle est associé à deux clés publiques : la clé de sortie à usage unique (qui prouve la propriété) et un engagement de montant (qui prouve que les valeurs en entrée et en sortie s'équilibrent). Le schéma précédent, MLSAG, signait séparément sur ces deux clés, produisant deux scalaires de réponse pour chaque membre du cercle.

CLSAG fait s'effondrer tout cela en un seul cercle. Il s'appuie sur des coefficients d'agrégation — dérivés de manière déterministe en hachant le cercle et ses engagements — pour replier les deux clés en une unique équation de vérification combinée. Le résultat : un seul scalaire de réponse par membre du cercle au lieu de deux, plus un unique défi initial et l'image de clé.

Pour un cercle de 11 membres, MLSAG réclamait environ 22 scalaires de réponse par entrée ; CLSAG n'en demande qu'une douzaine. C'est ce simple changement qui a allégé d'environ un quart une transaction type à deux entrées.

Point crucial : la preuve de sécurité montre que cette agrégation n'affaiblit rien. CLSAG reste infalsifiable et anonyme sous les mêmes hypothèses qu'auparavant, y compris face à un adversaire capable de choisir certaines des clés du cercle. Vous obtenez une signature plus petite et plus rapide, sans le moindre compromis sur la confidentialité ou la sécurité — une victoire nette et sans concession, chose rare en cryptographie.

CLSAG face à MLSAG : ce qui a changé

MLSAG (Multilayered Linkable Spontaneous Anonymous Group signatures) a fait tourner RingCT depuis son lancement en janvier 2017 jusqu'au fork de 2020. CLSAG en est un remplacement direct, conçu pour s'intégrer sans rien casser : il conserve le même modèle de confiance tout en éliminant le superflu. Le tableau ci-dessous résume les différences pratiques.

Des signatures plus petites, ce n'est pas qu'une question d'esthétique. Un poids de transaction réduit signifie des frais plus bas, moins de gonflement de la blockchain et des temps de synchronisation plus courts pour les nœuds. Comme chaque transaction Monero présente structurellement la même forme, ces économies se cumulent à l'échelle du réseau tout entier et améliorent la fongibilité — aucune transaction ne se distingue comme plus chère ou moins chère en fonction de son histoire.

Comment CLSAG s'insère dans une transaction Monero

CLSAG ne travaille jamais seul. Il n'est qu'un composant d'une transaction RingCT, aux côtés des adresses furtives, des engagements de montant et des preuves d'intervalle. Voici le cycle de vie simplifié d'une dépense, depuis l'instant où votre portefeuille décide d'envoyer jusqu'au moment où un nœud l'accepte.

1. Sélectionner les leurres : le portefeuille choisit 15 sorties leurres sur la chaîne à l'aide d'une distribution gamma qui imite les schémas de dépense réels, puis ajoute votre sortie authentique pour former un cercle de 16.
2. Construire les engagements : les montants en entrée et en sortie sont dissimulés derrière des engagements de Pedersen, et un engagement de pseudo-sortie est généré afin que le vérificateur puisse confirmer que les entrées égalent les sorties sans voir les valeurs.
3. Calculer l'image de clé : le portefeuille dérive l'image de clé de la sortie dépensée, que le réseau confrontera ensuite à son ensemble d'images de clé déjà dépensées.
4. Signer avec CLSAG : le portefeuille produit une unique signature de cercle agrégée portant sur le cercle des clés à usage unique et des clés d'engagement, ne refermant la boucle cryptographique que parce qu'il détient une véritable clé privée.
5. Attacher les preuves d'intervalle : Bulletproofs+ prouve que chaque montant de sortie se situe dans une plage valide, de sorte que personne ne puisse créer des pièces à partir de rien grâce à une sortie négative.
6. Diffuser et vérifier : la transaction se propage via Dandelion++ pour brouiller son adresse IP d'origine, et les nœuds vérifient la signature CLSAG, les engagements, les preuves d'intervalle et l'unicité de l'image de clé avant de la relayer.

Astuce : vous ne configurez jamais rien de tout cela. La taille du cercle, la sélection des leurres et le schéma de signature sont tous imposés par le consensus ; deux portefeuilles sur la même version du réseau produisent donc des transactions impossibles à distinguer.

Un exemple concret

Imaginez que vous convertissiez 0,5 BTC en XMR via MoneroSwapper, puis que vous envoyiez une partie de ces Monero vers un portefeuille matériel. À l'instant où vous validez l'envoi, votre portefeuille assemble un cercle de 16 sorties. Votre sortie authentique s'y trouve, mais y figurent aussi 15 sorties sans aucun rapport, appartenant à d'autres utilisateurs qui n'ont jamais accepté de participer et qui ne sauront jamais qu'ils l'ont fait.

La signature CLSAG que génère votre portefeuille prouve à chaque nœud de la planète que vous contrôlez légitimement l'une de ces 16 sorties — sans dire laquelle. Une plateforme d'échange qui surveille la chaîne, une société d'analyse blockchain ou un simple curieux ne voient qu'une transaction valide aux 16 sources également plausibles. Aucune heuristique ne permet d'isoler la vraie de manière fiable, et c'est précisément tout l'intérêt.

Comparez avec une chaîne transparente comme Bitcoin, où l'entrée exacte dépensée est publique. Sur Bitcoin, ce 0,5 BTC traîne un historique permanent et traçable. Sur Monero, CLSAG rompt le lien à chaque saut, et c'est exactement pour cette raison que les utilisateurs soucieux de leur vie privée font transiter de la valeur par Monero.

CLSAG, confidentialité et réglementation en Europe

Cette confidentialité « par conception » place Monero dans une position particulière vis-à-vis du cadre européen. Depuis l'entrée en application progressive du règlement MiCA, plusieurs plateformes desservant la France et l'Union européenne ont préféré retirer XMR de leur catalogue plutôt que de gérer les exigences de traçabilité. Concrètement, acheter des Monero sur une grande plateforme centralisée est devenu plus difficile qu'il y a quelques années pour un résident français.

Cela ne change rien à la légalité de la détention : posséder et utiliser des Monero reste parfaitement légal en France. En revanche, l'AMF rappelle régulièrement les risques liés aux crypto-actifs, et la DGFiP attend de chaque contribuable qu'il déclare ses plus-values de cession en crypto via le formulaire dédié de sa déclaration de revenus. La technologie CLSAG masque l'expéditeur sur la chaîne, mais elle ne vous dispense en aucun cas de vos obligations fiscales : la confidentialité protocolaire et la conformité déclarative sont deux sujets distincts qu'il vaut mieux ne pas confondre.

Pour l'utilisateur francophone, le point à retenir est simple : la rareté de XMR sur les plateformes réglementées rend les services d'échange sans inscription d'autant plus pertinents, tandis que la signature CLSAG continue de garantir, côté protocole, que chaque sortie reçue reste indissociable de 15 leurres au moment où vous la dépensez.

La route à venir : FCMP++ et Seraphis

CLSAG est excellent, mais il se heurte à un plafond structurel : l'ensemble d'anonymat est limité à la taille du cercle. Avec 16 membres, votre dépense réelle se cache parmi 15 leurres — c'est solide, mais fini. La communauté de recherche de Monero a passé des années à bâtir quelque chose de bien plus vaste.

FCMP++ (Full-Chain Membership Proofs) en est le successeur prévu. Au lieu de se dissimuler parmi 16 sorties, FCMP++ prouve l'appartenance à l'ensemble des sorties ayant jamais existé sur la chaîne — un ensemble d'anonymat de plusieurs dizaines de millions, et non de 16. Le développement et les audits ont progressé régulièrement tout au long de 2025, l'évolution visant un futur hard fork. Le jour où elle débarquera, les signatures de cercle telles que nous les connaissons, CLSAG compris, seront mises à la retraite.

Aux côtés de FCMP++ figurent le protocole de transaction Seraphis et le schéma d'adressage Jamtis, qui modernisent ensemble la façon dont les sorties Monero sont formées et adressées. La leçon n'est pas que CLSAG serait obsolète — il sécurise le réseau en ce moment même, et le fera encore un certain temps — mais que Monero ne cesse jamais d'améliorer ses garanties de confidentialité. CLSAG fut lui-même le successeur de MLSAG, et le cycle se poursuit.

FAQ

Que signifie l'acronyme CLSAG ?

CLSAG signifie « Concise Linkable Spontaneous Anonymous Group signatures », soit signatures de groupe concises, liables, spontanées et anonymes. Chaque mot décrit une propriété : la signature est compacte, les doubles dépenses sont détectables, aucune coordination entre membres du cercle n'est requise, le véritable signataire reste caché, et la preuve est apposée au nom d'un groupe plutôt que d'une clé identifiable.

Depuis quand Monero utilise-t-il CLSAG ?

CLSAG a été activé sur le réseau principal de Monero lors du hard fork « Oxygen Orion », le 17 octobre 2020, à la hauteur de bloc 2 210 720. Il a remplacé MLSAG, qui sécurisait les transactions RingCT depuis janvier 2017.

De combien CLSAG a-t-il réduit la taille des transactions Monero ?

Une transaction type à deux entrées a fondu d'environ 25 %, et la vérification est devenue 10 à 20 % plus rapide. Les économies viennent de l'agrégation de deux scalaires de réponse par membre du cercle en un seul, ce qui réduit à la fois les données stockées sur la chaîne et le travail de vérification demandé aux nœuds.

CLSAG affaiblit-il la confidentialité ou la sécurité de Monero ?

Non. CLSAG offre la même ambiguïté d'expéditeur et la même protection contre la double dépense que MLSAG. Sa sécurité a été prouvée formellement et auditée de façon indépendante, y compris sa résistance aux attaques où un adversaire contrôle une partie des clés du cercle. Il s'agit strictement d'une version plus efficace des mêmes garanties.

CLSAG sera-t-il un jour remplacé ?

Oui, à terme. La mise à niveau FCMP++ (Full-Chain Membership Proofs) est conçue pour remplacer entièrement les signatures de cercle, en faisant passer l'ensemble d'anonymat de 16 membres à la blockchain tout entière. Elle était en développement et en audit actifs tout au long de 2025, en visant un futur hard fork, mais CLSAG sécurise le réseau jusque-là.

Conclusion

CLSAG fait partie de ces évolutions qui prouvent qu'une bonne cryptographie peut être à la fois invisible et déterminante. Elle a rendu chaque transaction Monero plus petite, moins coûteuse et plus rapide à vérifier, tout en préservant la confidentialité de l'expéditeur et la protection contre la double dépense qui définissent la monnaie — sans que les utilisateurs aient eu à lever le petit doigt. La comprendre démystifie ce que signifie réellement « intraçable » : pas de la magie, mais une signature de cercle soigneusement construite, à laquelle on a greffé une image de clé.

Si vous voulez mettre cette confidentialité à profit, le chemin le plus simple consiste à acquérir des Monero sans dévoiler votre identité dès le départ. Vous pouvez acheter des Monero anonymement via MoneroSwapper, sans compte et sans KYC, et chaque sortie que vous recevrez sera défendue par les mêmes signatures CLSAG décrites ici, dès l'instant où vous la dépenserez.