Le Lightning Network n’est pas « impuissant »

Un article d'Udi Wertheimer il y a quelques semaines a fait la une des médias cryptographiques avec une affirmation claire : le réseau Lightning est « impuissant » dans un monde post-quantique, et ses développeurs ne peuvent rien y faire. Le titre a circulé rapidement. Pour les entreprises qui ont construit une véritable infrastructure de paiement sur Lightning ou qui sont en train de l’évaluer, les implications étaient troublantes.

Cela mérite une réponse mesurée.

Wertheimer est un développeur Bitcoin respecté, et sa préoccupation sous-jacente est légitime : les ordinateurs quantiques, s’ils deviennent un jour suffisamment puissants, poseront un véritable défi à long terme aux systèmes cryptographiques dont dépendent Bitcoin et Lightning. Cette partie est vraie et la communauté de développement Bitcoin y travaille déjà sérieusement. Mais présenter Lightning comme étant « impuissant » obscurcit plus qu'il ne révèle, et les entreprises qui prennent des décisions en matière d'infrastructure méritent une image plus claire.

Ce que Wertheimer avait raison

Les canaux Lightning exigent que les participants partagent des clés publiques avec leur contrepartie lors de l'ouverture d'un canal de paiement. Dans un monde où existent des ordinateurs quantiques cryptographiquement pertinents (CRQC), un attaquant qui obtient ces clés publiques pourrait théoriquement utiliser l'algorithme de Shor pour dériver la clé privée correspondante et, à partir de là, voler des fonds.

Il s’agit d’une véritable propriété structurelle du fonctionnement de Lightning. Ce que le titre laisse de côté

La menace est bien plus spécifique et bien plus conditionnelle que « votre solde Lightning peut être volé ».

Premièrement, les canaux eux-mêmes sont protégés par un hachage lorsqu'ils sont ouverts. Les transactions de financement utilisent P2WSH (Pay-to-Witness-Script-Hash), ce qui signifie que les clés publiques brutes à l'intérieur de l'arrangement multisig 2 sur 2 sont cachées sur la chaîne aussi longtemps que le canal reste ouvert. Les paiements Lightning sont également basés sur le hachage, acheminés via des HTLC (Hashed Time-Lock Contracts), qui reposent sur la révélation d'une pré-image de hachage plutôt que sur des clés publiques exposées. Un attaquant quantique surveillant passivement la blockchain ne peut pas voir les clés dont il aurait besoin.

La fenêtre d’attaque réaliste est beaucoup plus étroite : une fermeture forcée. Lorsqu'un canal est fermé et qu'une transaction d'engagement est diffusée sur la chaîne, le script de verrouillage devient publiquement visible pour la première fois, y compris la clé locale_delayedpubkey, une clé publique standard à courbe elliptique. De par sa conception, le nœud qui le diffuse ne peut pas réclamer immédiatement ses fonds : un timelock CSV (CheckSequenceVerify), généralement de 144 blocs (environ 24 heures), doit d'abord expirer.

Dans un scénario post-quantique, un attaquant surveillant le pool de mémoire pourrait voir qu'une transaction d'engagement est confirmée, extraire la clé publique désormais exposée, exécuter l'algorithme de Shor pour dériver la clé privée et tenter de dépenser la sortie avant l'expiration du délai. Les sorties HTLC lors de la fermeture forcée créent des fenêtres supplémentaires, certaines aussi courtes que 40 blocs, soit environ six à sept heures.

Il s’agit d’une vulnérabilité réelle et spécifique. Mais il s’agit d’une course contre la montre contre un attaquant qui doit résoudre activement l’un des problèmes mathématiques les plus difficiles qui existent, dans une fenêtre fixe, pour chaque résultat individuel qu’il souhaite voler. Il ne s’agit pas d’une fuite passive et silencieuse sur chaque portefeuille Lightning simultanément.

La vérification de la réalité du matériel quantique

Voici la partie qui fait rarement la une des journaux : les ordinateurs quantiques cryptographiquement pertinents n’existent pas aujourd’hui, et l’écart entre où nous en sommes et où nous devrions être est énorme.

Briser la cryptographie à courbe elliptique de Bitcoin nécessite de résoudre le logarithme discret sur une clé de 256 bits, un nombre d'environ 78 chiffres, en utilisant des millions de qubits logiques stables et corrigés des erreurs fonctionnant sur une période prolongée. Le plus grand nombre jamais pris en compte à l'aide de l'algorithme de Shor sur du matériel quantique réel est de 21 (3 × 7), obtenu en 2012 avec d'importantes assistances de post-traitement classiques. Le record le plus récent est une factorisation hybride quantique-classique d’un nombre RSA de 90 bits, un progrès impressionnant, mais toujours environ 2⁸³ fois plus petit que ce qu’il faudrait réellement pour casser Bitcoin.

Les recherches quantiques de Google sont réelles et méritent d'être surveillées. Les échéanciers discutés par des chercheurs sérieux vont d’estimations optimistes pour la fin des années 2020 à des projections plus conservatrices pour les années 2030 ou au-delà. Rien de tout cela ne signifie que "votre solde Lightning est en danger aujourd'hui".

La communauté du développement ne reste pas les bras croisés

Le discours de Wertheimer, selon lequel les développeurs Lightning sont « impuissants », est également en décalage avec ce qui se passe réellement. Depuis décembre seulement, la communauté de développement Bitcoin a produit plus de cinq propositions post-quantiques sérieuses : SHRINCS (signatures basées sur un hachage avec état de 324 octets), SHRIMPS (signatures de 2,5 Ko sur plusieurs appareils, environ trois fois plus petites que la norme NIST), BIP-360, le document de signatures basées sur le hachage de Blockstream, et des propositions d'opcodes basés sur OP_SPHINCS, OP_XMSS et STARK dans tapscript.

Le cadrage correct ne signifie pas que Lightning soit cassé et irréparable. Le fait est que Lightning, comme tout Bitcoin et comme la plupart des infrastructures cryptographiques d'Internet, nécessite une mise à niveau de la couche de base pour devenir résistant aux quantiques, et t