La frégate HNLMS Evertsen est équipée de systèmes de détection parmi les plus sophistiqués de la marine néerlandaise. Sa mission est d'escorter et protéger le porte-avions Charles de Gaulle en Méditerranée. Un journaliste néerlandais l'a géolocalisée pendant 24 heures en expédiant un traceur Bluetooth acheté 5 euros sur Internet glissé dans une enveloppe. Ces deux données coexistent dans les communiqués officiels des forces armées néerlandaises.
C'est le média Omroep Gelderland qui a conduit l'enquête. La méthode. Un traceur Bluetooth placé dans une enveloppe ordinaire envoyée à un marin de l'Evertsen via le service courrier de l'armée, qui permet aux soldats de rester en contact avec leur famille. Les enveloppes ne sont pas scannées aux rayons X. Le traceur a émis des signaux de position pendant environ 24 heures avant d'être détecté lors du tri du courrier. L'incident survient moins d'un mois après la géolocalisation du Charles de Gaulle lui-même via Strava.
Deux failles. Un mois. Le même groupe naval.
Ce dossier analyse ce que chacun de ces incidents révèle sur la nature réelle des failles OPSEC contemporaines, et pourquoi elles ne viennent jamais d'où on les attendait.
Le traceur Bluetooth, ce qu'il peut faire et ce qu'il ne peut pas faire
Commençons par ce que l'incident n'est pas. Ce n'est pas une opération d'espionnage d'État. Ce n'est pas un zero-day. Ce n'est pas un cryptage cassé après des mois de calcul.
C'est un AirTag.
Un traceur Bluetooth de type AirTag ne se localise pas en autonomie. Il émet en permanence un signal radio basse énergie, capté par les iPhones à proximité. L'iPhone se positionne par GPS ou WiFi, et transmet cette position aux serveurs d'Apple, qui la rend accessible au propriétaire du traceur. Trois contraintes limitent fortement cette mécanique en mer. La localisation WiFi est inopérante, les réseaux fixes étant inexistants en mer ouverte. La localisation GPS sur iPhone nécessite une ligne de vue dégagée. Et la transmission des données dépend de la connectivité internet des téléphones à bord, typiquement restreinte en opération.
La défense néerlandaise a déclaré que le traceur "n'aurait jamais amené de risques sur les opérations." La localisation a néanmoins fonctionné environ 24 heures. Ce qui implique qu'au moins un iPhone à bord était suffisamment connecté pour transmettre des données de position pendant cette période. Sur une frégate en mission opérationnelle.
Notons que la distinction entre "risque opérationnel nul" et "faille de procédure avérée" est précisément l'enjeu analytique. Ce que le traceur a démontré n'est pas qu'un adversaire dispose de la position du groupe naval. C'est qu'un journaliste néerlandais avec 5 euros et deux timbres a contourné la procédure de contrôle du courrier d'un navire de guerre en opération.
Posez-vous la question autrement. Si un journaliste peut le faire, qui d'autre peut le faire ?
L'incident Strava, la même structure un mois plus tôt
En 2018, l'application Strava avait révélé les contours de bases secrètes américaines en Syrie, en Afghanistan et en Somalie. La carte thermique des activités sportives de soldats avait exposé des installations censées ne pas exister. L'incident avait fait la une mondiale. Toutes les armées occidentales avaient révisé leurs règles OPSEC numériques.
Huit ans plus tard, Strava était actif sur le Charles de Gaulle.
Un passager du porte-avions s'entraîne en courant sur le pont. L'application enregistre son parcours GPS. Elle le publie. En croisant ces données publiques avec les patterns caractéristiques d'un pont de porte-avions, la position approximative du bâtiment se reconstruit. Ce n'est pas de la magie. C'est une opération de croisement de données que n'importe quel analyste peut faire en quelques heures avec du matériel grand public.
D'ailleurs, les deux incidents partagent la même structure profonde. Ce n'est pas un système d'armes qui a été compromis. Ce n'est pas un cryptage qui a été cassé. C'est le comportement d'individus (utiliser son application de sport, recevoir du courrier de sa famille) qui a produit une fuite de position sur un actif militaire de premier rang. La faille n'est pas dans les systèmes. Elle est dans ce que les soldats font avec leur téléphone.
L'OPSEC numérique, pourquoi c'est le problème le plus difficile à résoudre
La sécurité opérationnelle, l'OPSEC, est la discipline militaire qui consiste à empêcher un adversaire de reconstituer des informations sensibles à partir de données apparemment anodines. Elle a été formalisée pendant la guerre du Vietnam. Elle traitait alors de documents, de conversations téléphoniques, de mouvements visibles.
Elle doit aujourd'hui traiter de Strava, d'AirTags et d'iPhones.
Ironiquement, les deux vecteurs d'exposition documentés ici sont des services conçus pour préserver le moral des troupes. Le sport et le courrier familial. Personne ne propose sérieusement d'interdire à un marin de recevoir des lettres de sa famille pendant une mission de six mois. Personne ne propose sérieusement d'interdire l'activité physique sur le pont d'un porte-avions. Et pourtant, ces deux comportements humains normaux ont produit des fuites de position sur un actif stratégique.
C'est cela, le défi structurel. Pas la technologie. Pas les budgets. La tension irrésolue entre discipline opérationnelle et humanité des soldats, dans un monde où les objets du quotidien sont des capteurs de position permanents.
La Marine royale néerlandaise promet des "ajustements." Depuis 2018, on entend des "ajustements" après chaque incident Strava sur une base militaire dans le monde. Le problème ne se résout pas par ajustements.
Ce que le dossier ne dit pas encore
Cinq angles avant toute conclusion.
Premier angle. Le biais de linéarité. Deux incidents en un mois créent un effet de série qui peut tromper. Les Marines française et néerlandaise ont des procédures OPSEC solides sur la majorité de leurs vecteurs. Ces deux incidents documentent deux angles morts spécifiques. Ils ne signifient pas que l'ensemble du dispositif est défaillant. Ils signifient que ces deux vecteurs précis n'étaient pas traités.
Deuxième angle. La cohésion multinationale. Le groupe naval Charles de Gaulle intègre des navires de plusieurs nations OTAN, chacun avec ses propres procédures OPSEC numériques, à des niveaux de rigueur différents. Une faille dans les procédures néerlandaises sur l'Evertsen expose potentiellement le dispositif français. Une chaîne vaut ce que vaut son maillon le plus faible. Pas son maillon moyen.
Troisième angle. Les limites du risque réel. La localisation transmise par le traceur était imprécise et intermittente. Ce n'est pas l'équivalent d'un émetteur SIGINT posé à demeure. C'est une information partielle, peu fiable, utile à un journaliste pour une démonstration. D'une utilité tactique beaucoup plus limitée pour un adversaire militaire sophistiqué qui dispose d'autres moyens.
Quatrième angle. Le précédent Strava sans fin. L'incident de 2018 n'a pas été corrigé durablement. L'incident de 2026 le prouve. La question n'est plus "pourquoi ça arrive". Elle est "pourquoi les corrections ne tiennent pas dans le temps." Les contraintes comportementales imposées à des soldats en dehors des heures de service, sur des gestes devenus réflexes, s'érodent. C'est prévisible. C'est humain.
Cinquième angle. Un scénario alternatif crédible. Les deux incidents, traités comme signal systémique plutôt qu'accidents isolés, déclenchent une revue OPSEC numérique complète au niveau OTAN sur les vecteurs civils embarqués. Des protocoles de contrôle du courrier et de gestion des appareils personnels sont harmonisés entre marines alliées. Ce scénario est souhaitable. Il est aussi le scénario que les armées promettent après chaque incident de ce type depuis 2018.
Ce que deux incidents en un mois disent sur la guerre numérique du quotidien
Un porte-avions nucléaire de première ligne.
Géolocalisé deux fois en moins d'un mois.
Pas par une cyberattaque d'État. Pas par un satellite espion. Par une application de sport et un traceur de bagages.
La guerre numérique contemporaine n'attend pas les systèmes d'armes. Elle passe par les comportements individuels des soldats, la porosité du courrier postal, les téléphones personnels à bord. Les adversaires potentiels le savent depuis 2018 au moins. Les procédures corrigent ponctuellement. La discipline s'érode. Et le cycle recommence.
Pour un décideur en doctrine opérationnelle, la vraie question n'est pas technique. C'est de savoir si l'OPSEC numérique peut tenir sur des comportements devenus aussi naturels que le souffle, sans briser les liens humains qui permettent aux soldats de tenir dans la durée.
Réponse provisoire de la Marine royale néerlandaise. "Des ajustements ont été apportés."
Cédric Pellicer