Un chercheur remporte un prix quantique… sans utiliser de quantique

Une startup spécialisée en cybersécurité quantique, Project Eleven, a récemment attribué un bitcoin (1 BTC) à un chercheur affirmant avoir compromis une clé elliptique de 15 bits sur un système IBM Quantum. Pourtant, des experts indépendants ont démontré que ce prétendu exploit pouvait être reproduit avec un simple générateur de nombres aléatoires classique, remettant en cause l’efficacité réelle du calcul quantique dans cette démonstration.

Dans un communiqué, Project Eleven présentait cette avancée comme « la plus grande attaque quantique publique » contre les cryptosystèmes sécurisant Bitcoin, Ethereum et plus de 2 500 milliards de dollars d’actifs numériques. Cependant, dès la publication des résultats, des développeurs Bitcoin ont répliqué l’expérience en utilisant uniquement des ordinateurs domestiques, sans recourir à la moindre infrastructure quantique.

La démonstration contestée en 20 lignes de code

Jonas Schnelli, ancien mainteneur de Bitcoin Core, a reproduit l’intégralité du processus en une vingtaine de lignes de Python. Son verdict est sans appel : « Le calculateur quantique n’a rien apporté (seulement du bruit) ! La clé a été récupérée par un vérificateur classique triant du bruit aléatoire. » Il a partagé ses conclusions sur X (ex-Twitter), accompagnées d’un lien vers son code source.

Yuval Adam, un autre chercheur, a mené une expérience similaire en remplaçant le backend IBM Quantum du lauréat, Giancarlo Lelli, par le générateur de nombres aléatoires intégré de Linux, /dev/urandom. Après avoir conservé le reste du protocole intact, il a ouvert une pull request sur le dépôt GitHub de Lelli pour documenter sa découverte. Résultat : le générateur classique a permis de récupérer la clé privée à partir de la clé publique avec une efficacité comparable à celle du matériel quantique.

Adam a résumé son expérience en ces termes : « J’ai remplacé l’ordinateur quantique par /dev/urandom. La clé est toujours récupérée. »

Des « calculs classiques déguisés en quantique »

NVK, fondateur de Coldcard, a analysé le code source et confirmé l’absence de réelle contribution quantique. Il a qualifié les démonstrations de « calculs classiques portant des costumes quantiques ». Même le README du projet de Lelli reconnaissait implicitement cette limite : « Lorsque le nombre d’essais est suffisant, le bruit aléatoire seul permet de retrouver la clé privée avec une haute probabilité. »

Malgré ces révélations, le jury de trois juges de Project Eleven a maintenu l’attribution du bitcoin au chercheur. Une décision qui a suscité de vives critiques dans la communauté crypto, où certains y voient un manque de rigueur scientifique.

Un Community Note pour alerter sur l’absence d’avantage quantique

L’annonce initiale de Project Eleven sur X (ex-Twitter) est désormais accompagnée d’une Community Note, une note de fact-checking collaborative. Celle-ci précise que la méthode de récupération fonctionne même en remplaçant la sortie quantique par des données aléatoires générées classiquement, confirmant l’absence d’avantage quantique par rapport aux méthodes classiques.

Alex Bergeron, ingénieur chez Ark Labs, a résumé la situation en une phrase cinglante : « TL;DR : zéro responsabilité. On a vendu un tour de passe-passe. »