GrapheneOS quitte la France en raison de problèmes de sécurité et juridiques, notamment la pression du gouvernement pour une porte dérobée de chiffrement. Voici ce qui s’est passé et pourquoi c’est important.

Que s’est-il passé avec GrapheneOS en France ?

Le 24 novembre 2025, GrapheneOS a annoncé sur X(nouvelle fenêtre) qu’il avait retiré tous ses serveurs actifs de France et qu’il était en train de mettre fin à sa relation avec l’hébergeur OVHcloud. « La France n’est pas un pays sûr pour les projets open source de respect de la vie privée », a déclaré l’équipe, soulignant ce qu’elle décrit comme les attentes des autorités françaises concernant les portes dérobées de chiffrement.

Cette décision survient alors que la France devient l’un des partisans les plus virulents de la proposition de législation sur le contrôle des conversations de l’UE, qui vise à forcer les plateformes en ligne et les services de messagerie à scanner automatiquement les conversations privées, les images et les médias à la recherche de matériel pédopornographique (CSAM) et de contenu de détournement de mineurs. En mars, l’Assemblée nationale française a rejeté une proposition(nouvelle fenêtre) qui aurait obligé les services de communication sécurisés comme Signal à affaiblir ou à retirer leur chiffrement de bout en bout.

Le chiffrement de bout en bout (E2EE) signifie que seuls l’expéditeur et le destinataire peuvent lire le contenu d’un message, et non le fournisseur de services ou d’autres tiers, y compris les autorités gouvernementales ou les cybercriminels.

Au-delà des portes dérobées de chiffrement, on s’interroge de plus en plus sur la capacité de l’entreprise française OVHcloud à garantir la souveraineté des données. Un tribunal canadien(nouvelle fenêtre) a tenté de forcer l’entreprise à remettre les données clients stockées sur des serveurs européens en utilisant sa filiale canadienne, contournant ainsi les canaux juridiques habituels entre les gouvernements.

Qu’est-ce que GrapheneOS et pourquoi les gens l’utilisent-ils ?

GrapheneOS est un système d’exploitation à but non lucratif, open source et basé sur Android, utilisé par de nombreuses personnes à la recherche d’un meilleur respect de la vie privée, d’une meilleure sécurité et d’un meilleur contrôle. Voici quelques-unes des raisons pour lesquelles les gens le préfèrent à l’Android de Google :

  • Pas de collecte de données en arrière-plan, de suivi Google ou de télémétrie intégrés. Cela signifie que votre appareil n’envoie pas de données d’utilisation, de diagnostics ou d’informations comportementales à Google ou à ses partenaires.
  • Identifiant publicitaire désactivé par défaut. L’identifiant publicitaire est un identifiant unique attribué à votre appareil par Android qui permet aux spécialistes du marketing de vous suivre pour des publicités ciblées.
  • Pas de bloatware, comme les applications installées par le fabricant ou l’opérateur.
  • Pas d’applications forcées que vous ne pouvez pas désinstaller, telles que Google Assistant ou Gemini.
  • Pas d’invitations au verrouillage Google, telles que des notifications persistantes encourageant les services Google. Vous pouvez également utiliser GrapheneOS sans compte Google.
  • Pas d’intégration cloud par défaut telle que la sauvegarde automatique Google Photos.
  • Contrôles avancés des autorisations de respect de la vie privée, tels qu’une meilleure protection contre les exploits zero-day.
  • Règles de sécurité plus strictes contrôlant le comportement des applications, telles que le sandboxing qui empêche les applications d’accéder aux données d’autres applications ou aux ressources système sans autorisation explicite.

Pourquoi les portes dérobées de chiffrement sont dangereuses

GrapheneOS protège les appareils mobiles en utilisant le chiffrement complet du disque pour sécuriser toutes les données, y compris les métadonnées comme les noms de fichiers et les horodatages. Une porte dérobée de chiffrement signifierait l’ajout d’une méthode secrète que les forces de l’ordre pourraient utiliser pour déverrouiller des données chiffrées sans votre consentement, votre PIN ou votre visage.

Le problème avec une porte dérobée de chiffrement est que, une fois qu’elle existe, elle peut être découverte, mal utilisée ou exploitée par quiconque la trouve, y compris les cybercriminels. Cela met tout le monde en danger, pas seulement les personnes visées par une enquête, c’est pourquoi les défenseurs du respect de la vie privée s’y opposent systématiquement.

Pourquoi GrapheneOS affirme qu’une porte dérobée est techniquement impossible

Selon GrapheneOS, de récents commentaires publics et mémos internes circulant parmi les forces de l’ordre françaises incluaient des avertissements incitant à traiter les appareils Google Pixel comme « hautement suspects » et ce que le projet qualifie de désinformation sur GrapheneOS.

GrapheneOS explique que, même s’il le voulait, l’introduction d’une porte dérobée de chiffrement est techniquement impossible en raison de l’élément sécurisé matériel du téléphone, qui applique une chaîne de confiance stricte. Seul un micrologiciel correctement signé est autorisé à s’exécuter, et toute modification non autorisée entraînerait l’échec de la vérification de l’appareil. De plus, les protections appliquées par le matériel limitent le nombre de tentatives de déverrouillage et introduisent des délais entre elles, empêchant les attaques par force brute.

GrapheneOS n’est pas seul à refuser de créer des portes dérobées de chiffrement

De grandes entreprises technologiques ont également subi des pressions pour affaiblir le chiffrement et ont refusé. Voici quelques exemples récents :

  • En 2023, alors que le Royaume-Uni faisait avancer le projet de loi sur la sécurité en ligne, Signal a déclaré(nouvelle fenêtre) qu’il préférerait fermer son service dans une juridiction qui trahit la confiance de ses utilisateurs plutôt que de se conformer à une loi qui introduirait des portes dérobées ou des fonctionnalités permettant la surveillance.
  • En 2025, le gouvernement britannique a effectivement forcé Apple à choisir entre la création d’une porte dérobée de chiffrement et la suppression du chiffrement de bout en bout pour certains services. Apple a choisi de retirer la protection avancée des données (ADP) — une fonctionnalité qui étend le chiffrement de bout en bout à plusieurs services iCloud, y compris les sauvegardes, les photos, les notes et les fichiers — plutôt que de compromettre son modèle de sécurité. Apple a par la suite déposé une contestation judiciaire contre la demande du gouvernement britannique.

Lorsque les gouvernements affaiblissent le respect de la vie privée, vous en payez le prix

La position de la France contre les entreprises axées sur le respect de la vie privée et les projets open source envoie un message plus large : opérez ici et donnez-nous accès à vos données, ou partez.

Lorsque des plateformes sécurisées comme GrapheneOS choisissent de rester fermes sur leurs principes de sécurité et de retirer leur infrastructure du pays, les personnes mêmes qu’elles servent finissent par perdre l’accès aux outils conçus pour les protéger des fuites de données, de l’usurpation d’identité et de la censure d’État.

Chez Proton, un chiffrement fort et le respect de la vie privée en ligne sont fondamentaux pour notre mission. Nous ne pourrions pas fournir à notre communauté une boite mail sécurisée, un V(nouvelle fenêtre)P(nouvelle fenêtre)N(nouvelle fenêtre), un cloud ou une gestion des mots de passe sans eux.