GrapheneOS quitte la France pour des raisons de sécurité et juridiques, notamment des pressions gouvernementales pour la mise en place d’une porte dérobée de chiffrement. Voici ce qui s’est passé et pourquoi c’est important.

Que s’est-il passé avec GrapheneOS en France ?

Le 24 novembre 2025, GrapheneOS a annoncé sur X(nouvelle fenêtre) avoir retiré tous ses serveurs actifs de France et être en train de mettre fin à sa relation avec l’hébergeur OVHcloud. « La France n’est pas un pays sûr pour les projets open source axés sur le respect de la vie privée », a déclaré l’équipe, soulignant ce qu’elle décrit comme les attentes des autorités françaises concernant les portes dérobées de chiffrement.

Cette décision intervient alors que la France est devenue l’un des plus fervents partisans de la proposition de loi de l’UE sur le contrôle des chats, qui vise à forcer les plateformes en ligne et les services de messagerie à scanner automatiquement les conversations privées, les images et les médias pour y déceler des contenus pédopornographiques (CSAM) et de grooming. En mars, l’Assemblée nationale française a rejeté une proposition(nouvelle fenêtre) qui aurait exigé des services de communication sécurisés comme Signal d’affaiblir ou de retirer leur chiffrement de bout en bout.

Le chiffrement de bout en bout (E2EE) signifie que seuls l’expéditeur et le destinataire peuvent lire le contenu d’un message, et non le fournisseur de services ou d’autres tierces parties, y compris les autorités gouvernementales ou les cybercriminels.

Au-delà des portes dérobées de chiffrement, on se demande de plus en plus si l’entreprise française OVHcloud peut garantir la souveraineté des données. Un tribunal canadien(nouvelle fenêtre) a tenté de forcer l’entreprise à remettre des données de clients stockées sur des serveurs européens en utilisant sa filiale canadienne, contournant ainsi les canaux juridiques habituels entre les gouvernements.

Qu’est-ce que GrapheneOS et pourquoi est-il utilisé ?

GrapheneOS est un système d’exploitation à but non lucratif, open source et basé sur Android, utilisé par de nombreuses personnes recherchant un meilleur respect de la vie privée, une sécurité accrue et un contrôle renforcé. Voici quelques-unes des raisons pour lesquelles il est préféré à l’Android de Google :

  • Aucune collecte de données en arrière-plan, aucun suivi Google ou télémétrie intégrés. Cela signifie que votre appareil n’envoie aucune donnée d’utilisation, de diagnostic ou d’information comportementale à Google ou à ses partenaires.
  • Identifiant publicitaire désactivé par défaut. L’identifiant publicitaire est un identifiant unique attribué à votre appareil par Android qui permet aux spécialistes du marketing de vous suivre pour des publicités ciblées.
  • Pas de bloatware, comme des applications installées par le fabricant ou l’opérateur.
  • Pas d’applications forcées que vous ne pouvez pas désinstaller, comme l’Assistant Google ou Gemini.
  • Pas de messages d’incitation à utiliser Google, comme des notifications persistantes encourageant les services Google. Vous pouvez également utiliser GrapheneOS sans compte Google.
  • Aucune intégration cloud par défaut, comme la sauvegarde automatique de Google Photos.
  • Contrôles avancés des autorisations liées au respect de la vie privée, comme une meilleure protection contre les failles zero-day.
  • Des règles de sécurité plus strictes contrôlant le comportement des applications, comme le sandboxing qui empêche les applications d’accéder aux données d’autres applications ou aux ressources du système sans autorisation explicite.

Pourquoi les portes dérobées de chiffrement sont dangereuses

GrapheneOS protège les appareils mobiles à l’aide d’un chiffrement complet du disque pour sécuriser toutes les données, y compris les métadonnées comme les noms de fichiers et les horodatages. Une porte dérobée de chiffrement signifierait l’ajout d’une méthode secrète que les forces de l’ordre pourraient utiliser pour déverrouiller des données chiffrées sans votre consentement, votre code PIN ou votre visage.

Le problème avec une porte dérobée de chiffrement est qu’une fois qu’elle existe, elle peut être découverte, utilisée à mauvais escient ou exploitée par quiconque la trouve, y compris les cybercriminels. Cela met tout le monde en danger, pas seulement les personnes visées par une enquête, c’est pourquoi les défenseurs du respect de la vie privée s’y opposent systématiquement.

Pourquoi GrapheneOS affirme qu’une porte dérobée est techniquement impossible

Selon GrapheneOS, de récents commentaires publics et des notes internes circulant parmi les forces de l’ordre françaises comprenaient des avertissements de traiter les appareils Google Pixel comme « hautement suspects » et ce que le projet qualifie de désinformation sur GrapheneOS.

GrapheneOS explique que, même s’il le voulait, l’introduction d’une porte dérobée de chiffrement est techniquement impossible en raison de l’élément sécurisé matériel du téléphone, qui impose une chaîne de confiance stricte. Seul un micrologiciel correctement signé est autorisé à s’exécuter, et toute modification non autorisée entraînerait l’échec de la vérification de l’appareil. De plus, des protections matérielles limitent le nombre de tentatives de déverrouillage et introduisent des délais entre elles, empêchant les attaques par force brute.

GrapheneOS n’est pas le seul à refuser de créer des portes dérobées de chiffrement

De grandes entreprises technologiques ont également subi des pressions pour affaiblir le chiffrement et ont refusé. Voici quelques exemples récents :

  • En 2023, alors que le Royaume-Uni faisait avancer le projet de loi sur la sécurité en ligne (Online Safety Bill), Signal a déclaré(nouvelle fenêtre) qu’il préférerait fermer son service dans une juridiction qui trahit la confiance de ses utilisateurs plutôt que de se conformer à une loi qui introduirait des portes dérobées ou des fonctionnalités de surveillance.
  • En 2025, le gouvernement britannique a effectivement forcé Apple à choisir entre la création d’une porte dérobée de chiffrement et la suppression du chiffrement de bout en bout pour certains services. Apple a choisi de retirer la Protection avancée des données (ADP) — une fonctionnalité qui étend le chiffrement de bout en bout à plusieurs services iCloud, y compris les sauvegardes, les photos, les notes et les fichiers — plutôt que de compromettre son modèle de sécurité. Apple a par la suite engagé une procédure judiciaire contre la demande du gouvernement britannique.

Quand les gouvernements affaiblissent le respect de la vie privée, c’est vous qui en payez le prix

La position de la France contre les entreprises axées sur le respect de la vie privée et les projets open source envoie un message plus large : opérez ici et donnez-nous l’accès à vos données, ou partez.

Lorsque des plateformes sécurisées comme GrapheneOS choisissent de rester fidèles à leurs principes de sécurité et de retirer leur infrastructure du pays, ce sont les personnes mêmes qu’elles servent qui finissent par perdre l’accès aux outils conçus pour les protéger contre les fuites de données, l’usurpation d’identité et la censure d’État.

Chez Proton, un chiffrement fort et le respect de la vie privée en ligne sont au cœur de notre mission. Sans eux, nous ne pourrions pas fournir à notre communauté une boite mail sécurisée, un V(nouvelle fenêtre)P(nouvelle fenêtre)N(nouvelle fenêtre), un espace de stockage cloud ou un gestionnaire de mots de passe.