Suite à la polémique associée à l’article du Parisien, GrapheneOS a annoncé l’arrêt complet de son infrastructure en France, accélérant son retrait d’OVH et dénonçant un climat juridique de plus en plus hostile aux projets liés à la protection de la vie privée.
GrapheneOS, c’est quoi ?
GrapheneOS est un système d’exploitation durci pour mobile pensé pour être respectueux de votre vie privée et sécurisé. Il se base sur le projet Android Open Source Project (AOSP) et chaque amélioration est pensée dans une même logique : ne pas augmenter la surface d’attaque. Par exemple, pour vous protéger contre les menaces, GrapheneOS dispose d’un système de sandbox avancé qui agit à différents niveaux, notamment au niveau des composants, des applications et des espaces de travail.
Il représente une alternative aux versions classiques d’Android modifiées par les constructeurs et il est dépourvu des services et applications de Google. “Nous ne sommes pas contre le fait que les utilisateurs utilisent les services Google, mais ceux-ci ne devraient pas être intégrés au système d’exploitation de manière invasive.”, peut-on lire sur le site du projet.
Malgré tout, GrapheneOS ne ferme pas la porte aux outils de Google. Il intègre notamment une couche de compatibilité offrant la possibilité d’utiliser le Google Play Store par l’intermédiaire d’une sandbox. Même lorsqu’il est installé, GrapheneOS ne l’utilisera pas pour fonctionner.
Il est à noter que GrapheneOS est compatible avec une seule gamme de smartphones : les Google Pixel. D’après l’équipe de développement, il n’y a qu’avec ces appareils produits par Google qu’il est possible d’aller aussi loin dans la personnalisation pour améliorer la sécurité. Une exclusivité qui pourrait évoluer par la suite : la balle est dans le camp des constructeurs.
Vous pouvez visiter le site de GrapheneOS pour en savoir plus.
Le Parisien met le feu aux poudres
Le 19 novembre 2025, Le Parisien a publié un article de presse dans lequel GrapheneOS est présenté comme la solution ultime utilisée par les narcotrafiquants pour échapper aux forces de l’ordre. “La nouvelle méthode des trafiquants pour échanger à l’abri de la justice : le téléphone Google Pixel et le système d’exploitation GrapheneOS.”, peut-on lire dans les premières lignes de cet article.
Il fait notamment référence à une affaire de narcotrafic en particulier : “Il y a quelques mois, lors de la fouille du chef présumé du tentaculaire réseau francilien Omar, les enquêteurs de la brigade des stupéfiants ont mis la main sur un téléphone Google Pixel. À l’instant où les informaticiens de la police ont tenté de l’exploiter, l’appareil s’est mystérieusement réinitialisé. Le juge parisien en charge du dossier devra donc se passer du contenu du téléphone pour mener ses investigations contre Bilel.”, peut-on lire.
Cette publication est à l’origine d’une polémique importante, au point que l’équipe de GrapheneOS a pris une décision immédiate : quitter la France. Désormais, GrapheneOS a entamé une restructuration de son infrastructure informatique afin d’échapper à la juridiction française. Dans le même temps, ils envisagent de quitter OVHcloud, le géant français du Cloud.
“Nous n’avons plus aucun serveur actif en France et poursuivons le processus de départ d’OVH. Nous allons faire tourner nos clés TLS et les clés de compte Let’s Encrypt épinglées via accounturi. Les clés DNSSEC pourraient également être renouvelées. Nos sauvegardes sont chiffrées et peuvent rester chez OVH pour le moment.”, peut-on lire dans un post X.
Dans l’immédiat, plusieurs services de GrapheneOS (e-mail, Matrix, forums, Mastodon, etc.) vont migrer à court terme d’OVHcloud Canada vers Netcup en Allemagne, avant un nouvel hébergement à Toronto, toujours au Canada. Par ailleurs, les miroirs de mise à jour sont désormais hébergés à Los Angeles, Miami et Londres.
La France critiquée par l’équipe de GrapheneOS
Les développeurs affirment que la France est devenue un environnement hostile pour les projets open source axés sur la confidentialité. Pour eux, la France est un pays de plus en plus autoritaire.
Forcément, ces propos font écho à l’envie du gouvernement d’introduire des portes dérobées dans les mécanismes de chiffrement (dans le cadre du projet de loi Narcotrafic). On peut aussi citer le projet de loi ChatControl, qui n’est pas encore mort.
Selon l’équipe de GrapheneOS, les réquisitions visant à obtenir un accès aux smartphones chiffrés relèvent tout simplement de l’impossible sur le plan technique. En cause : les Secure Elements (SE), ces composants matériels isolés qui gèrent les protections anti-brute force et ne s’exécutent que via des mises à jour de firmware signées, en plus d’exiger l’authentification de l’utilisateur. C’est le modèle de sécurité utilisé qui impose ce haut niveau de sécurité.
Un parallèle est également fait entre le Canada et la France. En effet, là où le Canada ou les États-Unis protègent le refus de divulguer un mot de passe au nom du droit à ne pas s’auto-incriminer, la France pénalise ce refus, ce qui supprime une garantie essentielle pour la protection de la vie privée.
Comme beaucoup d’outils axés sur la sécurité et la protection de la vie privée, GrapheneOS peut être détourné de son objectif initial, mais cela ne justifie pas de l’associer directement au narcotrafic. Ce rapprochement n’est pas nécessaire, ni judicieux.
Qu’en pensez-vous ?
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.