F-35, dépendance logicielle, ODIN et données de mission: que peut vraiment contrôler Washington, et quelles marges de manœuvre restent aux acheteurs ?
En résumé
Le débat sur un prétendu « kill switch » du F-35 masque l’essentiel : la dépendance numérique d’un système d’armes conçu comme une plateforme logicielle. Le soutien passe par ALIS puis ODIN, une chaîne de maintenance et de logistique qui centralise l’état de l’avion, les pièces, les anomalies et les mises à jour. L’appareil peut voler sans liaison constante, mais la disponibilité et l’efficacité se dégradent si les correctifs, les bibliothèques de menaces et les données de mission ne suivent plus. La vraie fragilité tient moins à un bouton magique qu’à des leviers graduels : clés cryptographiques, fichiers de mission, accès aux outils de reprogrammation, chaîne d’approvisionnement et support industriel. Pour les acheteurs, la souveraineté se joue dans les contrats, l’architecture réseau, la protection des données et l’investissement local (stocks, ateliers, compétences). Le F-35 apporte une interopérabilité unique, mais il impose aussi d’accepter une part de dépendance assumée, de fait.
Le F-35, un avion dont la puissance vient aussi de ce qui ne se voit pas
Le F-35 n’est pas seulement une cellule furtive, un moteur et des capteurs. C’est une chaîne complète, où l’avion, ses bancs de test, ses outils de maintenance et ses mises à jour forment un ensemble cohérent. Dire « j’achète un F-35 » revient, en pratique, à acheter un accès durable à un écosystème. C’est là que naît le débat sur la souveraineté numérique.
Cette dépendance n’est pas un accident. Elle est une conséquence logique d’un programme multinational, très réglementé, et d’une architecture pensée pour évoluer par incréments logiciels. Plus l’avion devient performant, plus il dépend d’éléments immatériels : bibliothèques de menaces, algorithmes de fusion de données, versions logicielles, correctifs cyber, paramètres de capteurs, et fichiers de mission adaptés au théâtre.
Ce modèle apporte des bénéfices réels. Il permet une mise à niveau régulière, une standardisation des pratiques, et une interopérabilité rare entre flottes alliées. Mais il introduit aussi une dépendance logicielle structurante : l’acheteur n’est jamais totalement « seul maître à bord », même s’il a la souveraineté politique de l’emploi.
Le système ALIS puis ODIN, une colonne vertébrale du soutien
Le rôle d’ALIS, puis la transition vers ODIN
Pendant des années, ALIS a été le cœur du soutien du F-35 : suivi de configuration, gestion des pièces, planification de maintenance, traçabilité des opérations, état de disponibilité, et, au passage, ingestion de données techniques. ALIS a aussi été critiqué pour sa complexité, sa lourdeur et ses défauts, avec des milliers d’anomalies relevées sur la durée. Il a été progressivement remplacé par une approche modernisée : ODIN.
ODIN n’est pas un simple « nouveau logiciel ». C’est une bascule d’architecture, plus orientée cloud, plus modulaire, et conçue pour réduire la charge côté escadrons. Les kits matériels associés ont été présentés comme nettement plus compacts et moins coûteux que les serveurs plus anciens, ce qui reflète une volonté : déplacer une partie du poids informatique vers des services centralisés.
Le mythe de la « connexion constante » et la réalité opérationnelle
L’idée selon laquelle un F-35 deviendrait inutilisable « en quelques jours » sans connexion permanente est trop simplificatrice. Un avion peut voler sans être branché en continu à une infrastructure distante. Dans des scénarios de déploiement, les forces savent travailler en mode dégradé, avec des procédures de contournement et des saisies différées.
En revanche, la contrainte est ailleurs : plus le mode dégradé dure, plus la dette s’accumule. La maintenance moderne est une maintenance de données : il faut tracer, enregistrer, synchroniser, requalifier. Des communications officielles et des échanges institutionnels ont déjà évoqué des capacités temporaires de fonctionnement « hors ligne » de l’ordre de plusieurs semaines, mais cela repose sur des pratiques de suivi manuel et sur l’acceptation d’un risque croissant d’erreur de configuration. Et dans le monde du combat aérien, une erreur de configuration n’est pas un détail : c’est un facteur de sécurité des vols et de disponibilité.
Autrement dit, le F-35 ne « s’éteint » pas par magie. Il s’érode : d’abord en disponibilité, ensuite en performance, et enfin en soutenabilité si la coupure se prolonge.
La donnée de mission, l’autre dépendance souvent oubliée
Les Mission Data Files, une clé de la performance
L’un des leviers les plus sensibles n’est pas la maintenance, mais la mission. Le F-35 est conçu pour détecter, classifier et hiérarchiser des menaces. Pour y parvenir, il s’appuie sur des bibliothèques et des modèles qui décrivent des radars, des systèmes sol-air, des liaisons, des signatures, des comportements d’émission. Ces paquets sont souvent regroupés sous le terme Mission Data Files.
Sans ces données adaptées, l’avion peut continuer à voler, mais il perd une part de sa valeur ajoutée : identification moins fine, alertes moins pertinentes, fusion de capteurs moins efficace, et donc décision tactique moins rapide. Dans un conflit, c’est précisément ce « temps gagné » qui compte.
Les laboratoires de reprogrammation, entre coopération et autonomie encadrée
Pour réduire la dépendance, certains pays ont investi dans des capacités de reprogrammation, souvent en coopération. L’exemple le plus parlant est l’existence de structures dédiées à la production, la vérification et la validation de données de mission dans un cadre allié, avec des équipes, des moyens de test « hardware-in-the-loop », et des cycles de mise à jour synchronisés.
C’est une forme d’autonomie, mais pas une autonomie totale. Parce que la reprogrammation opère dans un cadre technique et juridique : outils certifiés, environnements contrôlés, et périmètres de diffusion strictement définis. L’acheteur gagne de la latitude pour des « missions souveraines », mais dans un écosystème où certaines briques restent verrouillées.
C’est ici que la question des codes de mission devient concrète. Le pouvoir n’est pas seulement dans l’avion. Il est dans la capacité à produire vite des données adaptées, à les tester, à les distribuer, et à certifier qu’elles fonctionnent dans la version logicielle du moment.
Le « kill switch », une image fausse qui cache des leviers bien réels
La faisabilité d’un arrêt à distance, et pourquoi l’hypothèse est fragile
Le fantasme du « bouton d’arrêt » est populaire parce qu’il est simple. Il évoque une télécommande qui immobiliserait instantanément une flotte étrangère. En pratique, un arrêt à distance généralisé, discret, et garanti sur des avions déployés dans des réseaux souverains est difficile à assurer sans laisser de traces, sans dépendre d’une connectivité, et sans exposer une attaque cyber spectaculaire… donc attribuable.
Surtout, un vrai « kill switch » universel poserait un problème de confiance systémique dans tout le programme. Si les partenaires croient qu’un tel mécanisme existe, ils exigent des contreparties coûteuses ou réduisent leurs achats. C’est un mauvais calcul industriel.
Les leviers crédibles, plus graduels et plus politiques
Là où le débat devient sérieux, c’est sur les leviers non spectaculaires. La dépendance ne vient pas d’un interrupteur, mais d’un ensemble de dépendances gérables… jusqu’au jour où elles deviennent critiques.
Premier levier : le rythme et l’accès aux mises à jour (correctifs cyber, évolutions fonctionnelles, compatibilités). Deuxième levier : les clés et mécanismes de sécurité, qui conditionnent l’accès à certaines fonctions, l’authentification d’équipements, ou la distribution de données sensibles. Troisième levier : la capacité de soutien industriel, y compris la disponibilité de pièces, de réparations profondes, et de compétences certifiées.
Ce n’est pas un « arrêt ». C’est une pression. Et cette pression peut être exercée de façon graduée, et donc politiquement plus vraisemblable. C’est là que certains parlent de droit de regard : non pas sur chaque sortie opérationnelle, mais sur la capacité d’un pays à soutenir durablement un haut tempo sans coopération.
La souveraineté numérique, un sujet de données autant que de missiles
La question des flux de données et de la confidentialité opérationnelle
Le F-35 génère une masse de données : états systèmes, journaux, paramètres, pannes, tendances. Ces données sont précieuses pour améliorer la flotte et anticiper les défauts. Elles sont aussi sensibles, car elles décrivent des profils d’emploi, des taux de disponibilité, des modes de déploiement, et parfois des signatures.
C’est pourquoi certains acheteurs cherchent des architectures qui limitent ce qui sort de leurs réseaux. Cela se joue à un niveau très concret : segmentation, chiffrement, passerelles, séparation des domaines classifiés, filtrage des champs, et gouvernance sur la télémétrie.
La difficulté est que l’amélioration du système repose précisément sur l’exploitation de ces données. Trop verrouiller, c’est réduire le bénéfice collectif. Trop ouvrir, c’est accepter une exposition stratégique. Dans ce dilemme, la technologie ne tranche pas. La politique tranche.
La dépendance comme prix de l’interopérabilité
Le F-35 est souvent vendu comme un standard allié, notamment parce qu’il favorise la coordination entre forces et la mutualisation des procédures. C’est une promesse d’interopérabilité OTAN. Mais une interopérabilité forte implique un socle commun : logiciels harmonisés, cycles de mise à jour alignés, méthodes de validation partagées.
Le revers est évident : plus le standard est commun, plus les marges d’écart souverain sont limitées. L’acheteur n’est pas prisonnier, mais il est intégré. Et dans un système intégré, la liberté absolue est incompatible avec la cohérence globale.
Les conséquences commerciales, entre argument massue et point de friction
Le poids du modèle « plateforme » dans la vente
Sur le plan commercial, l’écosystème est un argument : il garantit des évolutions continues, une mutualisation du soutien, et une logique de flotte. Pour un pays acheteur, cela peut réduire les coûts d’ingénierie nationaux, accélérer la montée en puissance, et offrir une assurance de long terme, car la base installée est très large et le programme est dimensionné sur des décennies.
Les chiffres publics donnent une idée de l’échelle : les plans d’acquisition et de soutien ont été chiffrés à des montants dépassant les 2 000 milliards de dollars sur la durée de vie du programme, ce qui souligne la profondeur industrielle et la dépendance réciproque entre États et industriels. Plus la facture est grande, plus la continuité du soutien devient une question stratégique, pas un simple contrat.
Les objections, de plus en plus audibles
En Europe, les débats ont pris de l’ampleur dès que la question de l’autonomie stratégique est revenue au premier plan. Une inquiétude revient : « Que se passe-t-il si la relation politique se tend ? » Cette question n’est pas théorique. Elle influence les calendriers, les clauses contractuelles, les stocks de pièces, et la volonté d’investir dans des capacités locales de maintenance et de reprogrammation.
Pour Lockheed Martin, la réponse consiste souvent à marteler que les pays opérateurs conservent la capacité d’emploi, et que le programme est structuré par des accords. Mais les acheteurs sophistiqués ne s’arrêtent pas à des slogans. Ils veulent des garanties opérationnelles vérifiables : capacité de déployer, capacité de maintenir, capacité de mettre à jour, capacité d’exploiter les données sans fuite.
C’est là qu’apparaît l’idée de verrouillage industriel : même sans intention hostile, un système trop centralisé réduit mécaniquement les options d’un État en cas de crise.
Les parades possibles, avec un coût et des limites claires
Les solutions techniques, du filtrage à la séparation de domaines
Il existe des parades, mais aucune n’est gratuite.
Première approche : construire des passerelles souveraines et des architectures réseau qui isolent les données sensibles, tout en laissant circuler ce qui est nécessaire à la maintenance. Cela passe par des solutions de type « cross-domain », des politiques de classification strictes, et des audits continus. Certains industriels européens de cybersécurité se positionnent précisément sur ce créneau : permettre l’intégration sans exfiltration.
Deuxième approche : renforcer la capacité nationale à travailler en mode dégradé. Cela signifie former, documenter, stocker, et pratiquer. Stocker des pièces, maintenir des bancs, disposer de compétences certifiées, et accepter que la résilience se paie en redondance.
Troisième approche : investir dans la production et la validation rapides de données de mission, au moins pour les priorités nationales. Là encore, c’est une compétence rare, coûteuse, et exigeante en infrastructures de test.
Les leviers contractuels et politiques, souvent plus décisifs que la technique
La souveraineté se joue aussi sur le papier.
Un acheteur peut négocier des clauses sur la disponibilité de certains outils, sur les délais de livraison de correctifs, sur les procédures de continuité en cas de crise, et sur les droits d’accès aux données générées par sa flotte. Il peut aussi exiger des stocks minimaux, des capacités de maintenance sur son territoire, et des transferts de compétences. Tout cela n’annule pas la dépendance, mais réduit la vulnérabilité.
En revanche, il faut être lucide : l’accès complet au code source, ou la capacité de modifier librement les fonctions critiques, n’est généralement pas au menu. C’est une limite politique autant que technologique. La promesse réaliste n’est pas l’indépendance totale. C’est une autonomie stratégique partielle, organisée, et financée.
Les limites incompressibles, que même les meilleurs contrats ne suppriment pas
Même avec des parades, certains points restent structurels.
Le cycle de modernisation du F-35 est global. Les grandes briques logicielles évoluent dans un calendrier commun. Les certifications, les validations et les compatibilités sont faites pour une flotte mondiale. S’écarter trop fortement du standard revient à se couper du flux d’améliorations, donc à perdre l’avantage principal du programme.
Autrement dit, l’acheteur a un choix. Soit il accepte l’intégration et investit pour réduire ses risques. Soit il veut une souveraineté maximale, et il doit alors accepter un autre modèle, souvent plus national, plus coûteux en ingénierie, et parfois moins performant à court terme.
La question qui restera quand l’émotion retombera
Le débat « kill switch » attire l’attention parce qu’il est spectaculaire. Mais la question sérieuse est plus froide : qui maîtrise la continuité opérationnelle d’un avion dont la valeur repose sur des mises à jour, des données de mission et une logistique numérisée ?
Les États-Unis n’ont pas besoin d’un interrupteur secret pour peser. La structure même du programme crée des points d’appui. Dans la majorité des cas, ce n’est pas un problème, parce que l’alignement politique existe, et parce que l’intégration renforce le collectif. Le risque apparaît quand l’alignement se fissure, ou quand un État se découvre dépendant sans avoir investi dans sa résilience.
Le bon réflexe n’est donc ni la paranoïa, ni l’aveuglement. C’est la lucidité : acheter le F-35, c’est acheter une puissance aérienne, mais aussi une gouvernance de données. Et dans ce domaine, la souveraineté ne se proclame pas. Elle se conçoit, se chiffre, et se teste en conditions réelles.
Sources
- U.S. Government Accountability Office (GAO) – F-35 Joint Strike Fighter: Actions Needed to Address Late Deliveries and Improve Future Development (GAO-25-107632, Sept. 2025)
- GAO – Designing the F-35’s Central Logistics System (GAO-20-316, 2020)
- GAO – The F-35: ALIS in the Looking-Glass (blog, 16 mars 2020)
- Congressional Research Service – F-35 Lightning II: Background and Issues for Congress (R48304, 2024)
- U.S. Joint Strike Fighter Program (JPO) – Page programme ALIS/ODIN (jsf.mil)
- U.S. Air Force (Edwards AFB) – Déploiement initial de matériel ODIN / ODIN Base Kit (1 fév. 2022)
- Defense News – Could Connectivity Failure Ground F-35? It’s Complicated (27 avr. 2016)
- FlightGlobal – F-35 ALIS open deficiencies grow to 4,700 over two years (17 mars 2020)
- UK National Audit Office (NAO) – The UK’s F-35 capability (11 juil. 2025)
- Reuters – U.S. to withhold F-35 fighter software code (24 nov. 2009)
- USNI News – Foreign F-35 Partners Allowed More Freedom to Customize Fighter Software (4 nov. 2014)
- F-35.com – Allies Strengthen F-35 Mission Data Partnership (24 avr. 2024)
- Euronews – Can the US turn off European weapons? Experts weigh in on “kill switch” fears (13 mars 2025)
Avion-Chasse.fr est un site d’information indépendant.
