L'OS mobile ultra-sécurisé, populaire chez les défenseurs de la vie privée, claque la porte de l'Hexagone. Accusé par des notes de police relayées par la presse d'être l'outil de prédilection des trafiquants, GrapheneOS a coupé ses serveurs français chez OVHcloud. Une rupture radicale, face aux menaces voilées de poursuites pour "non-coopération", qui interroge sur la place du chiffrement en France.
Un Pixel sous GrapheneOS : le nouveau drapeau rouge de la police
L'affaire a explosé le 19 novembre 2025 suite à la publication d'un article relayant une note de l'Office anti-cybercriminalité. Dans le viseur : l'utilisation de GrapheneOS par des réseaux criminels, comme lors de l'enquête autour du trafiquant "Bilel". GrapheneOS, une distribution Android hautement sécurisée installable uniquement sur certains Google Pixel, serait impossible à ouvrir pour les enquêteurs, les appareils semblant s'autodétruire lors des tentatives d'exploitation.
Pour la police, c'est un problème. Pour GrapheneOS, c'est l'amalgame dangereux. Le projet canadien, qui revendique 400 000 utilisateurs légitimes, dont des journalistes, des avocats et même, ironie du sort, l'ANSSI française, rappelle qu'il s'agit d'un outil open source, gratuit et axé sur la sécurité. L'équipe a formellement démenti les allégations médiatiques de fausse page Snapchat ou de bouton panique pour l'effacement, suggérant que les autorités confondent leur OS stock avec des versions pirates vérolées vendues par des intermédiaires peu scrupuleux.
Menace de backdoor : la ligne rouge est franchie
La tension a culminé lorsque la vice-procureure de Paris, Johanna Brousse, a laissé entendre que les éditeurs de logiciels refusant de coopérer avec la justice pourraient être poursuivis. Pour GrapheneOS, l'exigence est claire : fournir une clé de chiffrement reviendrait à installer une porte dérobée (un backdoor), détruisant l'essence même de leur produit.
Considérant la France comme un pays de plus en plus autoritaire et un territoire hostile qui soutient des initiatives comme EU Chat Control (pour autoriser le scan des messages chiffrés), l'équipe a pris la décision radicale de déménager ses infrastructures critiques (serveurs, miroirs) d'OVHcloud vers des juridictions jugées plus sûres, comme le Canada et l'Allemagne.
Dans sa riposte, GrapheneOS a brandi une menace de poids : en cas d'escalade, le projet se dit prêt à collaborer directement avec Google pour intégrer ses défenses avancées dans le code source d'Android. Concrètement, tous les smartphones Android du marché (Samsung, Xiaomi, etc.) pourraient devenir aussi inviolables. Cette dissuasion nucléaire numérique rendrait inopérants les outils d'extraction de données à l'échelle mondiale, transformant le marché des failles de sécurité en terre brûlée.
On en dit quoi ?
Ce départ n'est pas qu'un point de détail. Il marque un affrontement de plus entre les défenseurs du chiffrement universel, qui estiment qu'une faille pour la police est une faille pour tous, et un État qui cherche à effacer le secret au nom de l'enquête judiciaire. Le problème n'est pas l'outil, mais la tentative de criminaliser l'usage de la vie privée. En stigmatisant GrapheneOS, la France risque de s'isoler des acteurs de la cybersécurité tout en n'entravant que marginalement les criminels, qui trouveront toujours une autre solution. On pénalise surtout les citoyens soucieux de leur confidentialité, qui se retrouvent catalogués comme suspects potentiels, et c’est clairement un problème.
