Connexion
Accusé d’outil pour criminels, GrapheneOS rompt avec la France
Carbone en colère
Un article du Parisien sur le système Android alternatif GrapheneOS a créé une polémique : le système mobile serait une « botte secrète » pour les narcotrafiquants. L’équipe du projet a réagi radicalement, en retirant toutes ses ressources de France. La polémique a enflé en quelques jours, créant une cassure diplomatique dans l’univers open source.
Le 19 novembre 2025, Le Parisien a publié un article affirmant que la police judiciaire française avait alerté sur l’utilisation de GrapheneOS par les réseaux criminels organisés. L’article citait notamment le cas d’un trafiquant de 27 ans identifié comme « Bilel », soupçonné de diriger un réseau sous l’alias « Omar », et dont le téléphone Google Pixel équipé de GrapheneOS s’est « mystérieusement réinitialisé » lors d’une perquisition.
GrapheneOS est ce que l’on appelle une ROM alternative pour smartphones Android. Contrairement à d’autres ROM cependant, il ne peut être installé que sur un seul type d’appareil : les Pixel de Google. Pourquoi ? Car selon l’équipe chargée du projet, ce sont les seuls appareils permettant un reverrouillage complet du chargeur d’amorçage (bootloader) avec des clés cryptographiques personnalisées, garantissant l’intégrité du système contre les attaques physiques (nous y reviendrons). GrapheneOS a une orientation très marquée sur la sécurité, mais l’exclusivité des Pixel pourrait être abandonnée dès l’année prochaine, l’équipe ayant évoqué un rapprochement avec un autre équipementier.
Cet article a déclenché une vaste polémique, la décision brutale pour l’équipe de retirer toutes les ressources du projet hébergées en France, des critiques virulentes du pays, des attaques contre des ROM françaises et jusqu’à l’interdiction pour les membres de l’équipe de voyager en France, par peur des arrestations.
Une déclaration de guerre
L’article du Parisien n’est pas passé. Pour l’équipe de développement de GrapheneOS, il a agi comme une déclaration de guerre. Sur les réseaux sociaux, particulièrement X, Bluesky et Mastodon, le compte officiel du projet répond de manière très franche le 20 novembre : un « autre journaliste français » est accusé de « semer la peur », en n’ayant pas rendu fidèlement sa réponse. Celle-ci est pourtant présente dans l’article :
« Nous ne vendons rien, nous n’avons ni clients ni usagers. Les gens peuvent télécharger notre système d’exploitation gratuitement sur leurs téléphones Pixel et l’utiliser. Notre travail sur la sécurité et la confidentialité est très apprécié par les professionnels de la sécurité et est régulièrement recommandé et utilisé par les militants des droits de l’homme, les journalistes et les avocats. […] Les bandits et trafiquants utilisent aussi des couteaux, des voitures rapides et de l’argent liquide, des choses qui sont aussi largement utilisées par des citoyens honnêtes »
L’équipe pointe de nombreuses erreurs et surtout ce qu’elle présente comme un gros raccourci : GrapheneOS est associé à l’idée de criminalité.
Rapidement, la réponse de l’équipe se fait très critique vis-à-vis de la France : « Nous allons mettre fin aux quelques activités que nous menons en France car nous ne pensons plus que le pays soit sûr pour les projets open source de protection de la vie privée ». Elle annonce également que ses forums de discussions et autres instances Mastodon, Discourse et Matrix, hébergés chez OVHcloud, vont déménager vers des serveurs au Canada (où est basé l’essentiel de l’équipe) et en Allemagne. Contactée, l’entreprise française ne nous a pas encore répondu.
« Nous n’irons plus en France, notamment pour des conférences, et nous éviterons également d’y faire travailler des personnes. Une règle simple pour l’UE est d’éviter les pays qui soutiennent ChatControl. Nous sommes convaincus qu’il nous est désormais impossible d’opérer en toute sécurité en France en tant que projet open source axé sur la protection de la vie privée »
Deux jours plus tard, un article de France Info cite une « note confidentielle » selon laquelle les autorités auraient alerté sur GrapheneOS, « utilisé par des groupes criminels liés au narcotrafic pour dissimuler des activités réalisées avec leurs téléphones portables et pour empêcher leur exploitation par les services d’enquête. Il permet notamment d’effacer les données du téléphone, lorsqu’il est utilisé par un tiers ».
L’équipe a été contactée et s’en est défendue : « Nous ne vendons pas de téléphones et nous ne sommes pas responsables si des personnes utilisent notre base, y ajoutent des fonctionnalités douteuses et la vendent à un groupe de personnes ». Sinon, autant blâmer Google et Apple, qui fournissent elles aussi des fonctions de préservation de la vie privée, assène l’équipe, qui ajoute : « C’est vraiment une position absurde ».
Charge contre la France
L’équipe de GrapheneOS a précisé que ses décisions n’affecteraient pas la disponibilité du système au sein du pays. Il s’agit davantage d’une rupture diplomatique et d’un doigt pointé sur un pays qui serait sur le point de sombrer dans le fascisme. L’équipe indique que les forces de l’ordre l’auraient explicitement menacée de lui « faire ce qu’elles ont fait à EncroChat et Sky ECC ».
« La France est un pays de plus en plus autoritaire, sur le point de devenir bien pire. Ils sont déjà de très fervents partisans du contrôle du chat de l’UE. Leur application fasciste de la loi est clairement en avance sur la situation, diffusant des affirmations fausses et scandaleuses sur des projets open source de confidentialité. Rien de tout cela n’est prouvé », déclarait ainsi le compte officiel sur Mastodon, X.com et Bluesky le 19 novembre.
C’est d’ailleurs là que l’affaire prend une autre tournure, car il ne s’agit plus simplement d’une ROM alternative retirant ses ressources de France, mais d’un projet reconnu pour sa sécurité et dont les membres affirment qu’ils ne se sentent plus en sécurité en France. Pour l’équipe, il est en effet clair que la position très tranchée de l’Hexagone sur Chat Control fait du pays un environnement hostile pour certains produits open source.
Le 20 novembre, la Quadrature du Net s’en mêle, dans une charge contre l’État français également. Citant des articles du Parisien et du Figaro (qui parle pourtant de détournement du système par des criminels), l’association dénonce un « relai de propagande du ministère de l’Intérieur » et le comportement des forces de l’ordre, pour qui l’utilisation de GrapheneOS est « suspecte en soi » : « En présentant GrapheneOS comme une technologie liée au trafic de drogues, cette attaque vise à criminaliser ce qui est en réalité un outil sécurisé de préservation de la vie privée ».
Pour la Quadrature, ce n’est qu’un exemple de plus de la volonté du gouvernement français d’associer les technologies de protection de la vie privée à un comportement criminel. « Désormais, c’est le trafic de drogues qui sert à attaquer ces technologies et rendre justifiable la surveillance des communications », fustige l’association, citant la tentative de porte dérobée dans le chiffrement de bout en bout lors de l’élaboration de la loi Narcotrafic. Elle cite également un article du Monde Diplomatique qui revenait récemment sur la justification des politiques sécuritaires par le combat contre le trafic de drogue, le cas GrapheneOS s’inscrivant « exactement dans cette lignée ».
La garde à vue de Pavel Durov, fondateur de Telegram, est également mise en avant comme élément de preuve d’une dérive sécuritaire et autoritaire. Durov a d’ailleurs réagi à l’un des messages de GrapheneOS, indiquant : « Je suis passé par là – et croyez-moi, ils se moquent des faits. Quiconque a suivi la presse française depuis plus d’un an ne se fait aucune illusion sur son impartialité ».
Attaques contre iodéOS et Murena
Pour Graphene, la police française confond très probablement son système avec des forks illégaux à sources fermées vendus sur le marché noir. Toutefois, la colère de l’équipe contre la France, et plus spécifiquement ses forces de l’ordre, a aussi rejailli sur deux ROM alternatives françaises : e/OS/ de Murena et iodéOS de iodé.
« iodéOS et /e/OS sont basés en France. iodéOS et /e/OS rendent les appareils beaucoup plus vulnérables tout en induisant les utilisateurs en erreur sur la vie privée et la sécurité. Ces faux produits de confidentialité servent l’intérêt des autoritaires plutôt que de protéger les gens. /e/OS reçoit des millions d’euros de financement gouvernemental », affirme GrapheneOS.
Ces systèmes « ont de nombreux mois, voire des années de retard pour fournir des correctifs standards de confidentialité et de sécurité Android. Ils encouragent fortement les utilisateurs à utiliser des appareils sans chiffrement de disque fonctionnel et sans protections de sécurité importantes. Les données de leurs utilisateurs sont récupérables par les applications, services et gouvernements qui les souhaitent », assure l’équipe.
Il y aurait ainsi « une raison pour laquelle [les forces de l’ordre françaises] s’attaquent à un projet légitime de confidentialité et de sécurité développé en dehors de leur juridiction, plutôt qu’à deux entreprises basées en France, à leur portée, qui profitent de la vente de produits de « confidentialité » ».
Visions irréconciliables ?
L’affaire prend alors une tournure supplémentaire. Cette charge violente contre e/OS/ et iodéOS est pointée du doigt par plusieurs internautes. Sur Mastodon, quand Niavy fait remarquer que l’équipe « méprise souvent les autres projets », celle-ci intensifie ses critiques :
« Ces deux produits sont carrément des arnaques. Ils sont extraordinairement risqués et peu discrets. Ils mettent les utilisateurs en danger et les induisent en erreur avec de fausses affirmations répétées sur la vie privée et la sécurité. Chaque personne induite en erreur en achetant leurs produits les enrichit au prix de bien moins de protection pour ces utilisateurs contre les applications, services et attaquants que si elle utilisait un iPhone. Ils manquent de la confidentialité et de la sécurité les plus élémentaires. GrapheneOS n’est en aucun cas dans le même domaine et n’est pas une entreprise à but lucratif »
Gaël Duval, fondateur d’e/OS/ et à la tête de l’entreprise Murena, évoque dans une réponse une « violence sans limite ». Contacté, il n’a pas souhaité réagir davantage. Mais l’opposition ne date pas d’hier. Dans un message sur Mastodon daté du 18 juillet dernier, Gaël Duval indiquait : « Une fois de plus, Graphène attaque publiquement /e/OS avec des affirmations trompeuses ou totalement fausses. C’est tellement contre-productif et cela les discrédite beaucoup (mais nous savons que le problème n’est pas Graphene, mais son chef qui se cache derrière divers comptes et publications sur Graphene) ».
Le message faisait suite à la publication d’un long exposé sur ce que GrapheneOS pointe comme des défaillances dans la sécurité d’autres ROM, surtout e/OS/. Plusieurs sources, qui ont tenu à rester anonymes, nous ont cependant indiqué que le développeur à la tête de GrapheneOS, Daniel Micay, pouvait se montrer « difficile ».
La différence de vision entre toutes ces ROM alternatives semble cependant irréconciliable. Du côté de GrapheneOS, il s’agit avant tout de sécurité : le système a été pensé ainsi, et pas dans une optique de « dégooglisation ». Le choix des Pixel comme seuls smartphones a été expliqué par les développeurs, qui ne considèrent pas comme sérieuses les autres tentatives, tant que le bootloader n’est pas verrouillé et la chaine de démarrage contrôlée. Leur positionnement est clair : GrapheneOS n’est pas « trop » sécurisé, ce sont les autres qui ne le sont pas assez, et les attaques sur l’utilisation des Pixel ne tiennent pas, car la partie logicielle de Google est supprimée.
Leur langage dur envers e/OS/ et iodéOS semble lié à des approches très différentes, les deux ROM françaises étant davantage tournées vers le grand public et la réutilisation. Les deux idées centrales sont la lutte contre l’obsolescence matérielle et la « dégooglisation », comme Gaël Duval nous l’avait encore redit en février dernier. Il reconnaissait d’ailleurs lui-même le 18 juillet qu’e/OS/ n’était pas un système durci, qu’il se concentrait sur la vie privée, mais qu’ils prenaient quand même « la sécurité très au sérieux ».
GrapheneOS, un système très sécurisé
Les affirmations de l’équipe de GrapheneOS sur la sécurité de son système sont en tout cas fondées. En 2024 par exemple, la société Cellebrite affirmait qu’elle était en mesure de réaliser des extractions de données avec l’ensemble des smartphones Android, que les appareils soient en état AFU ou BFU, c’est-à-dire après et avant le premier déverrouillage de l’appareil suite à un redémarrage. Les appareils sous GrapheneOS étaient la seule exception, à condition que leur niveau de correctif soit postérieur à fin 2022. En février dernier, Cellebrite ne semblait toujours pas en mesure de percer les défenses de GrapheneOS.
Dans un autre article du Parisien, lui aussi du 19 novembre, Johanna Brousse, magistrate à la tête de la JUNALCO (Juridiction nationale de lutte contre la criminalité organisée), indiquait que le cas GrapheneOS était différent d’autres outils spécialisés comme EncroChat et Sky ECC, car « il existe pour une certaine partie des utilisateurs une réelle légitimité dans la volonté de protéger ses échanges ».
Estimant cependant que « rien n’est inviolable », elle déclarait qu’il fallait « développer des moyens techniques nous permettant de « pirater » ces téléphones de manière individuelle, dossier par dossier, dans le cadre légal », précisant qu’il s’agissait du « travail des ingénieurs de la DGSI ». Elle ajoutait toutefois : « Ces opérations sont très coûteuses, pouvant atteindre un million d’euros, et sont donc réservées aux affaires très graves de criminalité organisée et de terrorisme ».
Next avait déjà mentionné le service technique national de captation judiciaire (STNCJ) de la DGSI, chargé de décrypter les communications et terminaux chiffrés.
Un contexte qui faisait d’ailleurs dire à l’équipe de GrapheneOS le 20 novembre : « Cela nous incite presque à contribuer de nouveau à AOSP pour tenter de détruire leur capacité à exploiter une partie des appareils Android non équipés de GrapheneOS. Google est invitée à nous contacter ».
