Sélectionner une page

Pourquoi GrapheneOS a décidé de quitter la France

par | Actualités

28 Nov 2025

Chat Control

La décision de l’équipe de GrapheneOS, un système d’exploitation open source centré sur la sécurité et la confidentialité, de retirer toutes ses infrastructures de France a provoqué un vif débat. Derrière ce choix radical se cache une tension croissante entre deux impératifs souvent contradictoires : la lutte contre la criminalité et la protection de la vie privée. L’affaire illustre parfaitement les dilemmes contemporains liés au chiffrement des données et à l’usage des technologies sécurisées.

Une note de police à l’origine de la polémique

Tout commence avec une note interne de l’Office anti-cybercriminalité (OFAC), relayée par la presse française. Ce document met en garde les enquêteurs : certains smartphones, notamment les Google Pixel équipés de GrapheneOS, seraient impossibles à ouvrir avec les outils habituels. Le système est ainsi présenté comme un instrument d’entrave aux enquêtes, particulièrement dans le cadre de la lutte contre le narcotrafic.

Cette qualification a immédiatement suscité la réaction de la fondation GrapheneOS. Ses responsables rappellent que leur projet n’a jamais été conçu pour favoriser les activités illégales, mais pour protéger les utilisateurs contre la surveillance de masse et les intrusions numériques. Selon eux, l’impossibilité d’accéder aux données d’un téléphone éteint ou redémarré n’est pas une faille, mais bien la preuve que le logiciel tient ses promesses de sécurité.

Une migration forcée hors de France

Face à ce climat jugé hostile, l’équipe a pris une décision lourde de conséquences : migrer l’ensemble de ses serveurs hors de France, y compris ceux hébergés par OVHcloud. La crainte exprimée est claire : que les autorités françaises exercent à l’avenir des pressions pour imposer une porte dérobée dans le code, ce qui compromettrait l’intégrité du projet.

En se retirant, GrapheneOS entend préserver son indépendance et garantir à ses utilisateurs que le système restera fidèle à son engagement initial : offrir une sécurité maximale, sans compromis ni concessions aux demandes de surveillance étatique.

Les origines et la philosophie du projet

GrapheneOS n’est pas né du jour au lendemain. Ses racines remontent à 2014, avec un projet baptisé CopperheadOS, initié par Daniel Micay. Après une rupture interne, les développeurs ont relancé l’aventure en 2019 sous une nouvelle identité et avec une gouvernance indépendante.

Le système repose sur le code source ouvert d’Android, mais il le renforce par des mécanismes de sécurité avancés : durcissement du noyau, gestion stricte des permissions, isolation des applications, meilleure protection de la mémoire. L’objectif est double : offrir une plateforme robuste et supprimer toute dépendance aux services Google, notamment en éliminant la télémétrie.

GrapheneOS se distingue aussi par son choix stratégique : ne supporter que les appareils Google Pixel, afin de tirer parti de la puce Titan M2. Cette dernière joue un rôle crucial dans le Verified Boot, garantissant que le téléphone n’a pas été compromis au démarrage, et dans le chiffrement avancé des données.

Le cœur du problème : un coffre-fort inviolable

La polémique autour de GrapheneOS repose sur un point technique précis. Lorsqu’un smartphone est saisi par la police, son état au moment de la capture est déterminant. Si l’appareil est éteint ou redémarré, il devient un coffre-fort inviolable. Les clés de chiffrement ne sont pas stockées en mémoire vive, mais ancrées dans la puce Titan M2. Sans le mot de passe de l’utilisateur, elles restent inaccessibles.

Même les outils les plus sophistiqués des services d’enquête se révèlent inefficaces. Cette situation est perçue par les autorités comme une entrave, mais pour les développeurs, elle constitue la preuve que leur système fonctionne comme prévu. Les journalistes, militants ou simples citoyens soucieux de leur vie privée y voient une garantie essentielle.

Neutralité de la technologie et responsabilité

GrapheneOS défend une position de principe : la neutralité de la technologie. Le chiffrement, affirment-ils, est un outil indispensable pour protéger les communications. Qu’il soit utilisé par des criminels ne remet pas en cause sa légitimité. De la même manière que l’électricité ou l’internet peuvent servir à des fins illégales, le chiffrement ne saurait être condamné en soi.

La fondation refuse donc d’endosser une responsabilité pour les usages déviants de son système. Elle rappelle que la majorité de ses utilisateurs recherchent avant tout une protection contre l’espionnage, la surveillance abusive ou les cyberattaques.

Une contradiction française : l’Anssi impliquée

Pour renforcer sa défense, GrapheneOS a pointé une contradiction dans l’attitude des autorités françaises. Selon l’équipe, l’Agence nationale de la sécurité des systèmes d’information (Anssi) aurait non seulement utilisé leur code open source, mais aussi contribué à son amélioration en fournissant des retours et des correctifs.

Si cette affirmation est exacte, elle souligne l’ambivalence de la France : d’un côté, dénoncer GrapheneOS comme un obstacle aux enquêtes ; de l’autre, en tirer profit pour renforcer sa propre cybersécurité. L’Anssi, de son côté, n’a pas confirmé officiellement ces informations.

Un contexte européen tendu autour du chiffrement

L’affaire GrapheneOS s’inscrit dans un contexte plus large. Le chiffrement est régulièrement remis en cause par les autorités, au nom de la sécurité publique. L’exemple le plus récent est la proposition de règlement européen visant à lutter contre les abus sexuels sur les enfants en ligne, surnommée “Chat control” par ses opposants.

Le texte, dans sa version initiale, prévoyait une obligation de déchiffrer les messages instantanés, ce qui aurait contraint les fournisseurs à installer des portes dérobées. Une telle mesure aurait fragilisé la confidentialité des échanges pour l’ensemble des citoyens. Bien que le projet ait été amendé, il illustre la tension permanente entre protection des mineurs et respect de la vie privée.

Un débat sans issue simple

Le cas de GrapheneOS met en lumière un dilemme fondamental. D’un côté, les forces de l’ordre réclament des moyens efficaces pour lutter contre la criminalité organisée et le terrorisme. De l’autre, les défenseurs des libertés numériques rappellent que toute faille introduite dans un système peut être exploitée par des acteurs malveillants, mettant en danger l’ensemble des utilisateurs.

La question est donc de savoir si l’on peut concilier ces deux impératifs. Pour l’instant, la réponse semble négative : renforcer la sécurité des citoyens revient à compliquer le travail des enquêteurs, et inversement. GrapheneOS, en choisissant de quitter la France, a tranché en faveur de la confidentialité absolue.

Conclusion

L’affaire GrapheneOS dépasse le cadre d’un simple logiciel. Elle illustre les tensions profondes qui traversent nos sociétés numériques : comment protéger les individus sans affaiblir la capacité des États à garantir la sécurité collective ? En quittant la France, GrapheneOS envoie un signal fort : la protection de la vie privée ne doit pas être sacrifiée sur l’autel de la surveillance.

Ce débat est loin d’être clos. Il se poursuivra au niveau européen et mondial, à mesure que les technologies de chiffrement se perfectionnent et que les autorités cherchent à maintenir leur pouvoir d’investigation. GrapheneOS n’est qu’un acteur parmi d’autres, mais son geste radical rappelle que la bataille autour du chiffrement est, plus que jamais, au cœur de notre avenir numérique.