Signatures de cercle Monero : comment XMR cache l'expéditeur
Signatures de cercle Monero : comment XMR cache l'expéditeur
Lorsque vous signez une transaction Bitcoin, le réseau voit votre adresse, l'historique de votre solde et l'UTXO précis que vous avez dépensé. Lorsque vous signez une transaction Monero en 2026, le réseau voit un cercle de seize signataires potentiels — et il est mathématiquement impossible de prouver lequel est vous. Ce choix de conception, affiné par une décennie de recherche cryptographique depuis le livre blanc CryptoNote de 2014 jusqu'aux signatures CLSAG actuelles, est la raison pour laquelle Monero reste la seule cryptomonnaie Layer-1 majeure dotée d'une confidentialité obligatoire au niveau du protocole.
Ce guide décortique le fonctionnement réel des signatures de cercle, l'importance du hard fork d'août 2022, ce qui changera avec l'activation de FCMP++, et la manière dont chaque échange réalisé sur MoneroSwapper hérite automatiquement de ces garanties. Aucun diplôme de cryptographie n'est requis — mais attendez-vous à des mathématiques concrètes, pas à des approximations.
Pourquoi les signatures de cercle sont au cœur de la confidentialité Monero
Toute blockchain publique résout le même problème comptable : prouver qu'une pièce existe, prouver que l'expéditeur la possède, et empêcher qu'elle soit dépensée deux fois. Bitcoin résout cela avec des entrées transparentes et un ensemble UTXO que tout le monde peut auditer. Monero le résout avec trois techniques superposées — signatures de cercle, adresses furtives et RingCT — et les signatures de cercle constituent la couche qui dissimule l'expéditeur.
Sans masquage de l'expéditeur, même des montants entièrement chiffrés laissent fuiter des métadonnées. Des sociétés de surveillance comme Chainalysis et CipherTrace ont bâti leur valorisation sur le fait que le champ expéditeur de Bitcoin est en clair. Les signatures de cercle de Monero brisent cette surface d'attaque dans sa totalité. Chaque entrée de transaction est signée non par une clé mais par un ensemble, et le vérificateur confirme uniquement que *quelqu'un* dans l'ensemble a autorisé la dépense.
- Ambiguïté de l'expéditeur : le véritable signataire est computationnellement indiscernable de quinze leurres tirés des sorties précédentes de la chaîne.
- Aucune cérémonie de configuration de confiance : contrairement aux schémas zk-SNARK qui dépendent d'une génération cérémonielle de paramètres, les signatures de cercle reposent uniquement sur les hypothèses standards des courbes elliptiques sur Curve25519.
- Obligatoires, pas optionnelles : chaque transaction Monero depuis le lancement initial en 2014 porte une signature de cercle. Il n'existe aucun « mode transparent » sur lequel les sociétés de surveillance pourraient s'appuyer pour une analyse de base.
- Fongibilité par construction : comme les sorties ne peuvent pas être tracées de manière fiable jusqu'à un expéditeur, aucune pièce ne peut être marquée, mise sur liste noire ou refusée par une plateforme d'échange invoquant son historique.
Ce dernier point est précisément ce avec quoi les régulateurs européens — notamment l'AMF en France et l'ESMA au niveau communautaire — peinent depuis les vagues de retrait de cote de 2024 : on ne peut pas appliquer les heuristiques de la travel rule à un protocole qui refuse de révéler qui a envoyé quoi à qui. Les signatures de cercle sont la raison technique pour laquelle Monero a survécu là où des monnaies de confidentialité transparentes comme Verge ou Beam ont sombré dans l'oubli.
Comment fonctionne réellement une signature de cercle Monero
Sautez cette section si vous voulez seulement un modèle mental opérationnel — mais si vous souhaitez comprendre pourquoi le calcul tient, la construction est plus élégante que ce que la plupart des vulgarisations laissent entendre. Le schéma actuel, CLSAG, a remplacé l'ancien algorithme MLSAG lors du hard fork du 13 août 2022 et a réduit la taille des signatures d'environ 25 % tout en conservant les mêmes garanties de sécurité.
L'idée centrale : signer au nom d'un groupe
Une signature numérique classique prouve : « moi, détenteur de la clé privée x, autorise cette transaction ». Une signature de cercle prouve : « l'un des détenteurs des clés privées x₁, x₂, …, x₁₆ a autorisé cette transaction, et vous ne pouvez pas déterminer lequel ». Le vérificateur contrôle une équation unique qui ne se ferme que si le signataire connaît au moins une clé privée de l'ensemble, mais cette équation ne révèle aucune information sur la clé effectivement utilisée.
Dans l'implémentation de Monero, le « cercle » est construit au moment de la création de la transaction par le portefeuille de l'expéditeur. Le portefeuille sélectionne la sortie réellement dépensée plus quinze sorties leurres tirées des blocs antérieurs, les pondère selon une distribution gamma qui reflète l'âge réaliste de dépense des XMR (les sorties les plus récentes ont plus de chances d'être dépensées), puis les regroupe dans la signature.
Les images de clé : empêcher la double dépense sans révéler le signataire
L'objection évidente : si le réseau ne peut pas savoir quelle sortie a réellement été dépensée, qu'est-ce qui empêche quelqu'un de dépenser la même pièce deux fois via deux cercles différents ? La réponse est l'image de clé — un hash déterministe dérivé de la véritable clé privée, unique pour cette sortie spécifique. Chaque transaction publie son image de clé aux côtés de la signature de cercle. Les nœuds maintiennent un ensemble d'images de clé déjà vues, et tout doublon est rejeté sans appel.
Élément crucial : l'image de clé est une fonction à sens unique. La connaître ne vous apprend rien sur la clé privée sous-jacente ni sur la sortie du cercle qui a été dépensée. Elle permet seulement au réseau de reconnaître une répétition. C'est la primitive cryptographique qui permet à Monero d'offrir simultanément la non-corrélation *et* une comptabilité monétaire saine dans la même enveloppe.
La sélection des leurres : où la plupart des fuites de confidentialité se cachaient autrefois
Le Monero des débuts (2014–2017) permettait aux utilisateurs de choisir manuellement la taille du cercle, ce qui créait un problème évident : quiconque utilisait une taille de cercle de 1 (lui-même uniquement) était trivialement traçable, et même de petits cercles pouvaient être attaqués statistiquement. Le protocole impose désormais une taille de cercle de précisément 16 pour chaque transaction depuis le hard fork d'octobre 2022. L'uniformité est en elle-même une propriété de confidentialité — quand toutes les transactions se ressemblent, l'ensemble d'anonymat devient la chaîne entière.
La sélection des leurres suit une distribution gamma calibrée sur les schémas réels de dépense de XMR. Une sélection purement aléatoire surreprésenterait les nouvelles sorties (elles apparaissent dans de nombreux cercles avant d'être dépensées) et sous-représenterait les anciennes, donnant prise aux adversaires statistiques. Le modèle gamma approxime la façon dont les humains et les plateformes d'échange déplacent réellement les pièces, si bien qu'une dépense authentique se fond naturellement dans le bruit ambiant de la chaîne.
CLSAG, Bulletproofs+ et l'évolution depuis 2014
Les signatures de cercle de Monero ne sont pas une conception figée. Chaque hard fork majeur depuis 2017 a resserré la cryptographie, réduit la taille des signatures, ou les deux. Comprendre la chronologie aide à expliquer pourquoi les analyses on-chain qui « fonctionnaient » en 2018 sont obsolètes en 2026.
| Époque | Schéma | Année | Changement clé |
|---|---|---|---|
| Genèse | CryptoNote / LSAG | 2014 | Signatures de cercle d'origine, taille de cercle optionnelle. |
| RingCT | MLSAG + engagements Pedersen | Janv. 2017 | Masque aussi bien les montants que les expéditeurs. |
| Bulletproofs | MLSAG + Bulletproofs | Oct. 2018 | Preuves de plage réduites d'environ 80 %, frais en baisse. |
| Cercle 11 fixe | MLSAG | Mars 2019 | Taille de cercle obligatoire pour éviter le profilage. |
| CLSAG | CLSAG + Bulletproofs | Août 2022 | ~25 % plus petit, vérification plus rapide. |
| Bulletproofs+ | CLSAG + Bulletproofs+ | Août 2022 | Réduction supplémentaire de ~5–7 %. |
| Cercle 16 | CLSAG | Août 2022 | Ensemble d'anonymat accru par entrée. |
| FCMP++ (prévu) | Full-Chain Membership Proofs | 2026 | Ensemble d'anonymat = chaîne entière, ~100 M+ de sorties. |
La mise à niveau phare à l'horizon est FCMP++ (Full-Chain Membership Proofs Plus Plus), ciblée pour une activation fin 2026. Au lieu de choisir 15 leurres dans la totalité de la chaîne, chaque transaction prouvera son appartenance à l'*ensemble complet* des sorties historiques. L'ensemble d'anonymat passe de 16 à environ 100 millions, avec un argument cryptographique suffisamment compact pour être vérifié en quelques millisecondes.
Si vous voyez les signatures de cercle actuelles comme une aiguille cachée dans une botte de seize brins de paille, FCMP++ remplace la botte par le champ de blé entier — et le vérificateur confirme toujours qu'une aiguille s'y trouve quelque part.
C'est pourquoi les développeurs Monero décrivent la future architecture Seraphis/Jamtis comme une mise à niveau générationnelle plutôt qu'un correctif incrémental. Elle n'élargit pas seulement l'enveloppe de confidentialité existante ; elle élimine totalement le concept de « cercle » comme ensemble fini et choisissable.
Étape par étape : ce qui se passe quand vous envoyez 0,5 XMR
Suivons une transaction concrète. Vous ouvrez Feather Wallet ou Cake Wallet, vous collez une adresse de destinataire, vous saisissez 0,5 XMR et vous cliquez sur Envoyer. Sous le capot, la séquence suivante s'exécute — l'essentiel en moins de deux secondes sur un ordinateur portable de milieu de gamme.
- Sélection de la sortie : votre portefeuille identifie celle de vos sorties non dépensées qui couvre 0,5 XMR plus les frais. Supposons qu'il choisisse une sortie d'une valeur de 0,7 XMR.
- Récupération des leurres : le portefeuille interroge un nœud (le vôtre ou un distant) pour obtenir quinze sorties leurres plausibles tirées d'une distribution pondérée selon une loi gamma sur l'historique de la chaîne.
- Construction du cercle : votre sortie réelle est mêlée au cercle de seize. L'ordre est randomisé pour qu'aucune position ne laisse fuiter d'information.
- Génération de l'adresse furtive : l'adresse publique du destinataire est convertie en une sortie furtive à usage unique que seule sa clé de vue peut détecter. Même l'adresse publiée du destinataire n'apparaît jamais sur la chaîne.
- Engagements de Pedersen : les montants (0,5 envoyés, 0,199 de monnaie rendue, ~0,001 de frais) sont chiffrés sous forme d'engagements de Pedersen. Les preuves de plage (Bulletproofs+) prouvent que chacun est non négatif sans révéler la valeur.
- Signature CLSAG : votre portefeuille produit une signature CLSAG unique qui prouve simultanément l'appartenance au cercle et lie l'image de clé. C'est le cœur cryptographique de la transaction.
- Diffusion via Dandelion++ : la transaction signée entre dans le mempool via le schéma de propagation « stem-then-fluff » de Dandelion++, qui masque l'IP du nœud d'origine.
- Confirmation : environ deux minutes plus tard, la transaction atterrit dans un bloc. Dix confirmations (~20 minutes) constituent le seuil de finalité standard utilisé par la plupart des plateformes et commerçants.
Du point de vue d'un observateur, tout ce qui est visible sur la chaîne se résume à : seize membres du cercle (un réel, quinze leurres), une image de clé (qui prouve l'absence de double dépense), deux destinations de sortie furtives (la vôtre pour la monnaie rendue, la sienne pour le paiement) et deux engagements de Pedersen. Le montant, l'expéditeur et le destinataire sont tous dissimulés cryptographiquement.
Les signatures de cercle en pratique : un échange MoneroSwapper
La théorie est une chose. Voir les garanties de confidentialité survivre à un échange réel en est une autre. Quand vous échangez du Bitcoin contre du Monero via MoneroSwapper, la jambe BTC de l'opération est entièrement transparente sur la chaîne Bitcoin — c'est inévitable, puisque Bitcoin n'offre aucune confidentialité native. Mais dès que ces fonds deviennent du XMR, les signatures de cercle prennent le relais.
Imaginez une graphiste indépendante installée à Lyon en 2026, qui reçoit des BTC d'un client basé à Berlin. Pour payer son loyer en euros et alimenter son compte professionnel, elle envoie les BTC à une adresse de dépôt MoneroSwapper et reçoit des XMR sur son adresse furtive Cake Wallet. À partir de cet instant, tout fournisseur d'analyse on-chain qui examine le solde XMR ne voit que des sorties protégées par signatures de cercle. Il n'existe aucun lien entre la jambe BTC et les paiements Monero ultérieurs qu'elle effectue — aucune adresse partagée, aucun regroupement, aucun graphe entrées-sorties du type sur lequel s'appuient les outils analytiques Bitcoin.
C'est la raison pour laquelle les plateformes d'échange sans KYC qui transitent par Monero sont devenues la recommandation standard pour les voyageurs, les journalistes et les petites structures établies dans des juridictions à la surveillance financière agressive. La confidentialité n'est pas plaquée au niveau de la plateforme ; elle est mathématiquement garantie par le protocole sous-jacent, dès l'instant où les fonds touchent le côté XMR.
FAQ
En quoi une signature de cercle diffère-t-elle d'une signature numérique classique ?
Une signature classique prouve qu'une clé privée spécifique a autorisé un message — le vérificateur apprend exactement qui a signé. Une signature de cercle prouve qu'*une parmi N* clés privées a autorisé le message, sans révéler laquelle. Sur Monero, N vaut actuellement 16, ce qui signifie que chaque entrée de transaction est signée par un ensemble indiscernable de seize signataires potentiels.
L'analyse de chaîne peut-elle un jour désanonymiser une signature de cercle Monero ?
Les attaques statistiques contre le Monero des débuts (avant 2017) ont réussi quand les cercles étaient minuscules ou sélectionnables. Depuis le hard fork d'août 2022 qui impose une taille de cercle de 16 avec sélection des leurres pondérée selon une loi gamma, aucun article évalué par les pairs n'a démontré de désanonymisation fiable au niveau du protocole. Les erreurs opérationnelles — réutilisation d'adresses en dehors de Monero, fuite de métadonnées sur les plateformes, corrélations temporelles — restent la véritable surface d'attaque.
Pourquoi la taille du cercle est-elle plafonnée à 16 plutôt que plus haut ?
La taille des signatures et le coût de vérification croissent avec la taille du cercle, et des cercles plus grands obligent chaque nœud à stocker, synchroniser et valider davantage de données. Seize est le compromis actuel entre taille de l'ensemble d'anonymat et engorgement de la chaîne. La future mise à niveau FCMP++ contourne totalement ce dilemme en remplaçant le cercle par une preuve d'appartenance succincte couvrant toute la chaîne, étendant l'ensemble d'anonymat effectif à chaque sortie jamais créée.
Qu'est-ce qu'une image de clé, en termes simples ?
Une image de clé est une empreinte unique dérivée de la véritable clé privée dépensée. Chaque transaction en publie une. Les nœuds suivent toutes les images de clé qu'ils ont déjà vues et rejettent tout doublon, ce qui est la manière dont Monero empêche la double dépense. Détail crucial : l'image de clé ne peut pas être inversée pour identifier la clé privée ou la sortie spécifique dont elle provient — elle signale uniquement les doublons.
Les signatures de cercle Monero résistent-elles à l'informatique quantique ?
Pas encore. Les signatures CLSAG actuelles reposent sur le problème du logarithme discret sur Curve25519, qu'un ordinateur quantique suffisamment grand pourrait briser au moyen de l'algorithme de Shor. Le Monero Research Lab suit les candidats post-quantiques (schémas à base de réseaux euclidiens et de hachages), et Seraphis est conçu en intégrant dès l'origine des voies de migration vers la résistance quantique. Aucune menace quantique de production n'existe en 2026, mais la feuille de route reconnaît cette préoccupation à long terme.
L'utilisation d'un portefeuille matériel modifie-t-elle le fonctionnement des signatures de cercle ?
Non. Les Trezor Safe 3 et les appareils Ledger qui prennent en charge Monero gèrent la même opération de signature CLSAG qu'un portefeuille logiciel, simplement à l'intérieur de leur élément sécurisé. La construction du cercle, la sélection des leurres et la génération de l'image de clé se déroulent à l'identique. La valeur d'un portefeuille matériel réside dans le fait de garder votre clé de dépense hors ligne, pas dans une altération du protocole cryptographique.
Conclusion
Les signatures de cercle ne sont pas une fonctionnalité que Monero met en avant dans ses supports marketing — elles sont le mur porteur sur lequel tout le protocole est bâti. Depuis la conception initiale de CryptoNote en 2014, en passant par MLSAG et Bulletproofs, jusqu'à l'actuel CLSAG avec taille de cercle obligatoire de 16, et en direction de FCMP++ plus tard dans l'année 2026, chaque raffinement a resserré la même promesse fondamentale : l'expéditeur d'une transaction XMR ne peut être identifié par quiconque observe la chaîne.
C'est cette garantie qui rend Monero utilisable comme de véritables espèces sur Internet, et c'est ce dont chaque échange transitant par MoneroSwapper hérite dès que les fonds touchent le côté XMR. Si vous voulez passer de la théorie à la pratique, l'étape suivante est simple — installez un portefeuille qui prend en charge CLSAG (Feather, Cake ou Monero GUI font l'affaire), puis faites transiter un petit échange par une plateforme sans KYC et observez le peu d'informations que votre transaction révèle sur la chaîne. Les mathématiques font le reste.
🌍 Lire en